Um relatório da empresa InfoArmor, destaca que um servidor Web com Apache foi descoberto em março deste ano não estava configurado corretamente e expôs online os dados armazenados nele.
Por padrão, o Apache retorna o conteúdo de um arquivo chamado index.html
quando ele está presente. Se um arquivo com este nome não existe e a listagem de diretórios está habilitada, ele exibirá então os arquivos, pastas e também possibilitará seu download.
Como é possível ver na imagem abaixo do servidor configurado incorretamente, alguém deve ter renomeado o arquivo index.html
para index.html_bkp
, o que fez com que o servidor listasse os arquivos e pastas com tamanhos variando de 27MB até 82GB:
Ao abrir um dos arquivos os analistas da InfoArmor descobriram que ele continua informações como números de CPF, informações pessoais, informações militares, números de telefone, informações sobre empréstimos e endereços:
Ao tentar entrar em contato com o proprietário do banco de dados enquanto ainda monitorava o diretório exposto, a InfoArmor viu o arquivo de 82GB ser substituído por um arquivo .sql com 25GB.
Com base nos tipos de arquivos armazenados e nos dados contidos neles, é possível que o diretório exposto estava sendo usado para armazenar backups de bancos de dados sem perceber que eles estavam expostos online.
No final de março o servidor foi reconfigurado e os arquivos deixaram de ser expostos publicamente, não é possível afirmar por quanto tempo os arquivos ficaram expostos antes do servidor configurado incorretamente ter sido descoberto pela InfoArmor e nem se criminosos tiveram acesso aos dados.
Fontes e Direitos Autorais: BleepIngComputer – Lawrence Abrams – 12/12/2018 – https://www.bleepingcomputer.com/news/security/taxpayer-id-numbers-for-120-million-brazilians-exposed-online; e
InfoArmor – Christian Less – Special Report: InfoArmor Finds 120 Million Brazilian Identities Exposed – 12/12/2018 – https://blog.infoarmor.com/employees/infoarmor-discovers-120-million-brazilian-identities-exposed