Site deixa mais de mil documentos como CNH, RG e CPF abertos na internet.

Site deixa mais de mil documentos como CNH, RG e CPF abertos na internet.

Como você reagiria se encontrasse seu documento ou cartão exposto na internet?

Não foi meu caso, mas poderia ser o caso de  muita gente. Uma imagem me intrigou bastante na terça-feira (26/09), era uma lista com vários links de passaportes e vistos russos, ao clicar apareciam as imagens digitalizadas.

 

 

Com certeza foi utilizado alguma dork “sem vergonha” para tal resultado, com essa certeza e observando as imagens, tentei imaginar as possíveis ações que o atacante fez para chegar a esse resultado. E depois de algumas tentativas, PUMBA!! Cheguei ao mesmo resultado, impressionante a quantidade de documentos soltos na internet, de diversos tipos, modelos e localizações, quase um cardápio que pode ser escolhido por modelo e região.

Um prato cheio para os estelionatários.

Pensando nisso, trouxe para a realidade do Brasil e surpresa foi ainda pior, vários sites brasileiros guardando documentos sem o mínimo de segurança.

Alguns exemplos a seguir:

 

Pasmem, alguns com cartão de crédito anexado ao documento.

 

Depois de ter visto tudo isso, e achar que já tinha tudo, percebi que o pior da pesquisa estava por vir.

Em um único site mais de mil documentos, entre cpf, rg, atestados médicos e contratos, de diversos usuários estavam soltos e abertos para qualquer um visualizar.

O site provavelmente é baseado em rede social com foco específico, não posso entrar em detalhes para não dar dicas para a localização, mas provavelmente são documentos inseridos pelos própios donos por algum motivo ou a pedido do site, pois possuem números de registros de pastas, provavelmente o id do usuário.

Veja a seguir:

A solução:

Apache:

Cria-se um arquivo .htaccess com o seguinte comando:

Options -Indexes

Detalhes

ISS:

Disable Directory Browsing

Detalhes

Dicas:

  • Nunca passe cópia de cartão de crédito, muito menos frente e verso.
  • Cuidado ao enviar documentos digitalizados a alguém ou site, de preferência, evite.
  • Se tiver que mandar, edite números referentes ao documento, seja ofuscando ou recortando a imagem.

2 Comments

  1. Bruno Neves · 27 de setembro de 2017 Reply

    Parabéns pelo artigo, Lenon! Quanto a solução, complementando o que disse, não listar os arquivos só soluciona parcialmente o problema. O ideal é que os uploads não fiquem dentro do DocumentRoot da aplicação, ou seja, não sejam acessíveis diretamente pelo browser.

  2. Vinícius Feitosa da Silva · 27 de setembro de 2017 Reply

    Parabéns, ótimo post, man!
    Abraço.

Leave a reply