FIESP expõe dados pessoais de 180 milhões e investiga vazamento

Banco de dados da FIESP ficou exposto na internet; ele tem informações pessoais como nome, RG, CPF, endereço e telefone

há 5 anos e 5 meses • Atualizado há 2 anos e 4 meses

Três bancos de dados da FIESP (Federação das Indústrias do Estado de São Paulo) ficaram expostos na internet por vários dias revelando 180 milhões de registros pessoais, incluindo nome, RG, CPF, endereço completo, e-mail e número de telefone. A entidade está “apurando eventual acesso a sua base de dados cadastrais”.

O pesquisador de segurança Bob Diachenko descobriu 34.817.273 registros pessoais em uma base de dados chamada “FIESP” que podia ser acessada através do motor de busca Elasticsearch. Ele estava aberto para consulta por qualquer pessoa.

Diachenko também encontrou dois outros servidores Elasticsearch abertos, chamados “celulares” e “externo”. Eles contêm dados pessoais de 6.986.604 e 10.558.155 pessoas, respectivamente. Ambas as bases de dados pertencem à FIESP, diz o pesquisador no Twitter.

A descoberta ocorreu em 12 de novembro. “Notificamos imediatamente os contatos da FIESP, mas nunca recebemos nenhuma resposta”, escreve Diachenko no blog da HackenProof. “O banco de dados só ficou off-line depois que um seguidor brasileiro [no Twitter], Paulo Brito, conseguiu entrar em contato com um representante da FIESP por telefone para informá-lo sobre a exposição.”

Segundo Diachenko, a base de dados incluía as seguintes informações:

nome;
número de RG;
CPF;
sexo;
data de nascimento;
endereço completo;
e-mail;
número de telefone.

FIESP: base não contém dados sensíveis nem senhas

O Tecnoblog solicitou um posicionamento da FIESP. A assessoria de imprensa explica: “desde ontem estamos apurando internamente o caso”. Em comunicado, a entidade afirma que a base contém apenas dados cadastrais, não senhas; e diz que as informações pessoais não se tornaram públicas.

A FIESP está apurando eventual acesso a sua base de dados cadastrais, no dia 12 de novembro, por uma empresa que alega ser de segurança digital. Nesta base há somente dados cadastrais, não contendo informações sensíveis e nem senhas. Não há, até o momento, notícia de que qualquer informação pessoal do cadastro tenha sido exposta.

A FIESP entrou em contato com a referida empresa, que afirmou não ter tornado públicos e ter destruído posteriormente os dados a que alega ter tido acesso. Afirmou ainda que seu objetivo foi expor eventuais vulnerabilidades para prevenção de potenciais vazamentos.

Se a Lei Geral de Proteção de Dados Pessoais estivesse em vigor, a FIESP teria que notificar a ANPD (Autoridade Nacional de Proteção de Dados) sobre o vazamento. Dependendo do caso, a entidade poderia ser punida com uma advertência ou com uma multa equivalente a 2% do faturamento, limitada a R$ 50 milhões. A lei começa a valer em 2020.

A FIESP “representa cerca de 130 mil indústrias de diversos setores, de todos os portes e das mais diferentes cadeias produtivas, distribuídas em 131 sindicatos patronais”, segundo o site oficial. Trata-se da maior entidade de classe da indústria brasileira.

FIESP permitiu acesso a dados sem login e senha

O Elasticsearch é um motor de busca bastante usado em empresas. Ele tem código aberto e permite analisar grandes volumes de dados quase em tempo real, com arquivos armazenados em um servidor específico para essa tarefa.

No entanto, há empresas que deixam aberto o acesso ao Elasticsearch, sem exigir login e senha. Isso permite a instalação de malware ou ransomware nos servidores de busca, diz Diachenko, e abre as portas para que cibercriminosos gerenciem todo o sistema com privilégios administrativos completos, roubando ou até mesmo destruindo os dados salvos.