Exclusivo: falha em site do Ministério do Trabalho vazou dados de brasileiros

Sistema do antigo Ministério do Trabalho revelava dados pessoais com consulta de CPF; site saiu do ar após notificação do Tecnoblog

Emerson Alecrim
Por
• Atualizado há 1 ano e 1 mês
Bandeira do Brasil (Imagem: ilanwet/Pixabay)
Bandeira do Brasil (imagem: ilanwet/Pixabay)

Quando o assunto é proteção de dados pessoais, o Brasil fica em posição crítica. Um exemplo recente de descuido com informações sigilosas vem do antigo Ministério do Trabalho (MTE): uma falha em uma API no site do órgão permitiu que detalhes como nome completo e endereço de cidadãos fossem extraídos com consultas de CPF, sem nenhum tipo de autenticação.

O problema foi revelado ao Tecnoblog por um especialista em segurança que se identifica apenas como Andrey. Ele conta que descobriu a vulnerabilidade na segunda semana de fevereiro.

Na ocasião, a falha foi reportada por Andrey, via e-mail, ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR) e ao próprio MTE, órgão que, na verdade, foi convertido em Secretaria do Trabalho do Ministério da Economia em 2019.

Mas, até a tarde de hoje, nenhuma solução havia sido aplicada — no contato inicial, o CTIR apenas respondeu a Andrey com uma mensagem padrão de “notificação em andamento”.

Sistema Juventude Web

A vulnerabilidade envolvia o endereço do Juventude Web, um sistema relativamente antigo, cuja primeira versão remete a 2009. O site foi criado pelo então MTE para o Cadastro Nacional de Aprendizagem Profissional (CNAP), programa de cadastramento de entidades habilitadas para formação técnico-profissional.

Por meio de uma requisição específica para o endereço www.juventudeweb.mte.gov.br junto a um número de CPF, era possível extrair os seguintes dados da pessoa física associada ao documento, sem que o site solicitasse senha ou outro tipo de autenticação:

  • CPF;
  • Nome completo;
  • Data de nascimento;
  • Rua;
  • Número da residência;
  • Complemento;
  • Bairro;
  • CEP;
  • Munícipio;
  • Estado;
  • Nome da mãe.

Usando um pequeno script fornecido por Andrey, o Tecnoblog pôde comprovar a vulnerabilidade na manhã desta sexta-feira (19). Todos as consultas de CPF testadas por nós retornaram as informações da lista.

Exemplos de dados obtidos com a falha (imagem: Emerson Alecrim/Tecnoblog)
Exemplos de dados obtidos com a falha (imagem: Emerson Alecrim/Tecnoblog)

A parte mais perturbadora é que, aparentemente, o banco de dados usado pelo sistema é compartilhado com outros serviços do governo. Isso porque, durante a verificação do problema, pudemos obter dados de pessoas que, em tese, não deveriam constar em cadastros do MTE por conta de fatores como idade ou atividade exercida.

O próprio Andrey constatou que o site do MTE revelava informações de crianças e de pessoas falecidas, por exemplo.

Como o sistema Juventude Web é antigo, é provável que a brecha tenha passado bastante tempo sendo explorada. Andrey relata ter encontrado recentemente mais de 15 scripts específicos para a vulnerabilidade em repositórios online. Quando ele soube do assunto, em fevereiro, havia encontrado somente cinco scripts, o que sugere que o problema vinha se tornando conhecido rapidamente.

Site sai do ar após contato do Tecnoblog

Após checarmos o problema, o Tecnoblog entrou em contato com a Secretaria do Trabalho por e-mail. Por volta das 16:00 de hoje, recebemos um retorno da Secretaria de Políticas Públicas para o Emprego da Secretaria Especial de Produtividade, Emprego e Competitividade do Ministério da Economia (SPPE/SEPEC/ME) com a seguinte resposta:

Assim que tomamos conhecimento do problema, solicitamos que a página, que estava para ser desativada, fosse retirada do ar, como já aconteceu.

De fato, constatamos que, horas depois do nosso contato, o site do Juventude Web deixou de funcionar e já não dava mais acesso aos dados.

Ainda de acordo com a SPPE/SEPEC/ME, o Juventude Web foi substituído por dois sistemas de cadastro que podem ser acessados a partir da página Aprendizagem Profissional.

LGPD para órgãos públicos

A Lei Geral de Proteção de Dados Pessoais (LGPD) não é válida somente para empresas do setor privado. Órgãos governamentais também estão sujeitos a sanções em caso de exposição de informações pessoais.

No entanto, cabe à Autoridade Nacional de Proteção de Dados (ANPD) analisar cada caso e decidir pela punição. Por padrão, órgãos públicos ficam sujeitos a advertências e sanções administrativas, enquanto empresas podem ser multadas em até 2% sobre o faturamento anual, limitado a R$ 50 milhões.

Punições só podem ser aplicadas a partir de agosto de 2021, porém.

Atualizado às 18:45

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Temas populares