Reportagem exclusiva publicada nesta terça-feira (19) pela revista digital The Hack, que aborda temas ligados a hacking, segurança da informação e tecnologia, revela uma falha grave descoberta por três geógrafos e que pode expôr dados dos clientes do ArcGIS, mais utilizado ecossistema de software, servidor e sistema on-line de gerenciamento de dados geográficos no mundo, usado em dezenas de países e produzido pela multinacional ESRI.
Facilitada por configurações inadequadas nos ambientes dos clientes do ArcGIS, a falha permitiu aos jornalistas da revista acessarem informações altamente confidenciais, como nome, RG e endereços de policiais militares do Estado de São Paulo; dados sobre crimes e criminosos do Estado de Santa Catarina; quase 120 mil encomendas feitas ao Pão de Açúcar com os endereços de entrega, e mais de 40 mil ordens de serviço de manutenção de Internet e telefonia da Claro, com nome e endereço dos clientes. Mas o Ministério Público do Rio de Janeiro, a Vale, a Petrobras e a Prefeitura de Lucas do Rio Verde (MT) também estão entre as vítimas brasileiras do vazamento.
A denúncia sobre a vulnerabilidade do ArcGIS partiu do geógrafo especializado em GIS Victor Barone, que, com a ajuda dos também geógrafos Felipe da Rocha e Rodrigo Peixoto Ferrão, passou a investigar problema e a alertar as vítimas em junho deste ano.
Leia também:
- Auditoria do TCU aponta falhas na estratégia brasileira de governo digital
- Os cuidados com seus dados pessoais na rede e fora dela
- Vazamento de dados, privacidade e vigilância sob a ótica da LGPD
Usado por mais de 350 mil instituições governamentais, universidades, empresas privadas e 20 mil prefeituras de todo o mundo, o ArcGIS foi lançado em 1999 e, hoje, oferece uma série de funcionalidades, como mapeamento de informações, construção de sites, desenvolvimento de apps e coletas de campo por formulários criados em um spin-off, o Survey123.
E é justamente aí que mora o perigo. Segundo a investigação de Barone, o Survey123 mantém uma API Rest pública passível de ser encontrada com uma busca no Google ou até mesmo pelo site oficial da ferramenta. Com isso, os formulários criados pelo Survey123 e as respostas nele inseridas podem ser visualizados por qualquer um na Internet. É possível até enviar arquivos sem autenticação.
Questionada pela The Hack, a ESRI disse que as questões levantadas pelos três geógrafos serão levadas em consideração no desenvolvimento do produto. “Usuários de privilégios elevados podem optar por substituir os padrões para abrir as coisas ainda mais para o público em geral. O Survey123 tem mensagens de aviso, uma documentação rigorosa para compartilhamento apropriado, tal como uma ferramenta gerenciada pelo usuário para sinalizar configurações fora de alinhamento com as recomendações de melhores práticas”, afirmou a empresa em comunicado, agradecendo o alerta para poder incorporar esses casos de uso como parte de roteiro de salvaguardas, guias, treinamento e comunicações com seus clientes.
Fonte: The Hack
