Praticamente virou rotina noticiarmos um novo vazamento de dados no Brasil toda a semana, e isso parece ter se intensificado desde o final de janeiro, após aquele megavazamento de mais de 220 milhões de brasileiros. A bola da vez é o antigo Ministério do Trabalho (MTE), que permitiu, através de uma brecha de segurança, que informações pessoais de cidadãos fossem roubados.

A falha foi revelada por um especialista em segurança que se identifica como Andrey. Ao Tecnoblog, ele afirma ter descoberto, na segunda semana de fevereiro, um erro no site do ex-Ministério do Trabalho, que desde 2019 foi transformado em Secretaria do Trabalho do Ministério da Economia.

Segundo Andrey, a vulnerabilidade envolvia a página Juventude Web, um site criado pelo então MTE em 2009. O objetivo do endereço era permitir que entidades focadas em formação técnico-profissional se cadastrassem, e estava diretamente ligado ao Cadastro Nacional de Aprendizagem Profissional (CNAP).

Ao acessar o site “juventudeweb.mte.gov.br”, que já foi desativado, e inserir um número de CPF, era possível extrair dados sensíveis dos usuários sem a necessidade de senha. Além do próprio CPF, informações como nome completo, data de nascimento, endereço completo e nome da mãe podiam ser extraídos. E do mesmo jeito que aconteceu com o megavazamento de janeiro, há dados ligados diretamente com outros serviços do governo, uma vez que consta no banco de dados o cadastro de crianças e pessoas falecidas.

O problema não para por aí. Além disso, Andrey verificou a existência de mais de 15 scripts específicos para a vulnerabilidade em repositórios online, mas somente cinco desses scripts estavam no radar do pesquisador. Ou seja, de fevereiro para cá, dez scripts foram desenvolvidos para explorar a brecha.

Assine a newsletter do Gizmodo

Andrey diz ter entrado em contato por e-mail com o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR) e o próprio MTE, mas até a última sexta-feira (19) não obteve nenhuma resposta. O único retorno foi uma mensagem padrão de que a notificação estava em andamento.

Como o site Juventude Web já foi fechado, o acesso aos dados foi interrompido. De acordo com a Secretaria de Políticas Públicas para o Emprego da Secretaria Especial de Produtividade, Emprego e Competitividade do Ministério da Economia (SPPE/SEPEC/ME), o endereço foi substituído por dois sistemas de cadastro que podem ser acessados pela página Aprendizagem Profissional.

[Tecnoblog]