Número de catastro de 120 millones de brasileños quedaron expuestos en Internet

De acuerdo a una investigación realizada por InfoArmor, en marzo de este año investigadores descubrieron un servidor web Apache mal configurado que contenía archivos con el número de identificación financiera, conocida en Brasil como CPF, de 120 millones de ciudadanos brasileños que estaban expuestos y de libre acceso para cualquiera.

El “Cadastro de Pessoas Físicas” o CPF, es el documento de identificación fiscal donde se lleva un registro de la información impositiva de las personas físicas. El CPF es necesario, entre otras cosas, para realizar transacciones financieras, como abrir una cuenta bancaria, comprar un inmueble, abrir un negocio, pagar impuestos, etc. En este sentido, cada número de CPF expuesto está asociado a un historial bancario e impositivo; así como también a un nombre, una dirección de correo, domicilio, número de teléfono, fecha de nacimiento, empleo, contactos familiares, entre otras tantos más.

Dicho esto, el volumen de información sensible expuesta por este error representa aproximadamente al 57% de la población de Brasil.

Luego de revisar más de cerca el servidor mal configurado, los investigadores descubrieron que alguien había modificado el nombre del “index.html” a “index.html_bkp”. Este cambio de nombre es uno de los motivos que hizo que la información quedara expuesta. Según explican los especialistas, cualquier persona que supiera el nombre del archivo o que navegara hacia él tendría acceso libre a todas las carpetas y archivos. Dichos archivos, cuyo tamaño van desde los 27 megabytes hasta los 82 gigabytes, contenían bases de datos con información relacionada al CPF.

InforArmor intentó identificar con el propietario del servidor para comunicar el hallazgo. Y si bien fueron varios los intentos fallidos, hace un tiempo atrás el error de seguridad fue reparado y la información dejó de ser accesible.

Según los investigadores que descubrieron esta exposición, es probable que algún actor malicioso o grupo criminal con capacidades para recopilar datos los haya detectado. De ser así, es muy probable que puedan ser utilizados en un futuro para alguna campaña maliciosa o ataque dirigido a Brasil.