Uma base de dados da Federação das Indústrias do Estado de São Paulo (FIESP) com informações de 500 mil cidadãos brasileiros, incluindo nome, RG, endereço, e-mail, telefone e CPF, foi vazada recentemente. A descoberta foi feita na última quarta-feira (21), pelo pesquisador de segurança Bob Diachenko, do blog europeu HackenProof.

Diachenko encontrou um banco de dados aberto e não criptografado na plataforma ElasticSearch e disse que qualquer pessoa poderia ver e acessar os dados. O pesquisador tentou entrar em contato com a FIESP, mas disse que não obteve retorno.

Somente quando ele contatou o jornalista Paulo Brito, do site CiberSecurity, a instituição fechou a base de dados – após repetidos telefonemas e e-mails trocados com a assessoria de imprensa.

Após a divulgação do caso, o Ministério Público do Distrito Federal e Territórios (MPDFT) instaurou inquérito civil público para investigar o suposto incidente de segurança. De acordo com o MP “serão apuradas as circunstâncias do suposto incidente de segurança e as responsabilidades pelos danos eventualmente causados”.

À Vice, a FIESP disse que está apurando eventual acesso a sua base de dados cadastrais e disse que “não há informações sensíveis e nem senhas”.

Bem, eu não diria que RG, CPF, endereço, e-mail e número telefone não são sensíveis. Como já vimos, golpes podem ser aplicados com essas informações.

Atualização às 18h11: A assessoria da FIESP entrou em contato com o Gizmodo Brasil após a publicação desta matéria e nos enviou o seguinte comunicado:

A FIESP está apurando eventual acesso a sua base de dados cadastrais, no dia 12 de novembro, por uma empresa que alega ser de segurança digital. Nesta base há somente dados cadastrais, não contendo informações sensíveis e nem senhas. Não há, até o momento, notícia de que qualquer informação pessoal do cadastro tenha sido exposta.

A FIESP entrou em contato com a referida empresa, que afirmou não ter tornado públicos e ter destruído posteriormente os dados a que alega ter tido acesso. Afirmou ainda que seu objetivo foi expor eventuais vulnerabilidades para prevenção de potenciais vazamentos.

A FIESP reforça o seu compromisso de sempre zelar pela segurança de seus ambientes.

[Vice, HackenProof, CiberSecurity, MPDFT]