Uma falha nos sistemas do Detran-RS (Departamento Estadual de Trânsito do Rio Grande do Sul) expôs dados pessoais de 5,1 milhões de motoristas. O ocorrido permitiu acesso a número do RG (identidade), número de CNH (Carteira Nacional de Habilitação), Renach (Registro Nacional de Carteira de Habilitação), multas e placas de carro, entre outras informações, de acordo com matéria divulgada pelo UOL Tilt.
A irregularidade foi descoberta por Mateus Gomes, técnico em redes e Jonathan Fonseca, pesquisador de segurança. Ao analisarem o código do Portal de Trânsito, um site do Detran-RS com serviços para os motoristas, notaram que era possível ter acesso a duas APIs, uma espécie de “interface de consulta”, sem a necessidade de autenticação (login e senha). De acordo com a reportagem, após ser alertado na quarta-feira (27), o órgão corrigiu a falha.
Dados sobre os motoristas:
- Número do RG.
- CNH, incluindo número, validade, data de emissão e categoria.
- Número do Renach.
- Endereço e telefone da auto-escola em que a CNH foi retirada.
Dados dos veículos:
- Placa.
- Modelo.
- Renavam.
- Multas, incluindo valores, local e hora de aplicação.
Na entrevista divulgada na reportagem, Gomes diz que qualquer pessoa com conhecimento técnico poderia acessar dados privados sem nenhum tipo de identificação de segurança. “Além de não validar corretamente a origem das solicitações, o sistema não possuía nenhum tipo de proteção contra ataques de força bruta ou limitador de requisições”, afirma o técnico em redes. Ou seja, se torna um processo fácil para criminosos praticarem uma série de golpes, como falsificação da carteira de trabalho e uso do RG para fazer compras.
Em nota enviada ao site, o Detran-RS afirma que ninguém obteve tais dados e que possui uma série de serviços de consultas e que é referência em transparência. Também ressalta que para ter acesso a esta base dados, é necessário ter os documentos anteriores (como RG, Renach ou CNH), e que possui uma “série de dispositivos de segurança que monitoram e bloqueiam eventuais acessos irregulares ou indevidos a essas informações”.
As pessoas lesadas por toda esta situação podem utilizar com o previsto pela LGPD (Lei Geral de Proteção de Dados) e pedir advertência ou divulgação da infração pela ANPD (Autoridade Nacional de Proteção de Dados).