SEGURANÇA

Senhas do sistema do Detran-RS vazaram

16/01/2019 07:55

Criminosos usavam senhas de funcionário para fazer alterações de dados.

Segurança de dados no Detran-RS é frágil, para dizer o mínimo. Foto: Pixabay.

Tamanho da fonte: -A+A

A Polícia Civil desarmou um esquema que se aproveitava da fragilidade da política de segurança da informação no Detran do Rio Grande do Sul para fazer alterações fraudulentas na base de dados do órgão.

Segundo revela a Zero Hora, foram pelo menos 955 operações ilegítimas no sistema Gerenciamento de Informações do Detran-RS (GID), que reúne dados cadastrais de veículos.

Foram cumpridos 18 mandados e feitas quatro prisões, incluindo proprietários de revendas de automóveis, que se beneficiaram do esquema pagando menos taxas.

Os fraudadores tiveram acesso à senha de um funcionário, por meios ainda desconhecidos. De acordo com os investigadores, o servidor não é cumplíce.

De posse da senha, os fraudadores precisavam apenas tomar a precaução de fazer as alterações fora do horário de expediente e nos finais de semana, de tal forma a não “derrubar” o usuário real do sistema e levantar suspeitas.

Foram feitas modificações nos registros de pelo menos 322 carros no Estado, causando prejuízo ao Detran, até o momento, de R$ 450 mil.

As alterações incluem dados como nome do proprietário, a existência de multas ou numeração do chassi e do Renavam. Até mesmo carros em nome de pessoas mortas foram transferidos de forma fraudulenta.

A investigação começou quando o Detran levou as suspeitas apuradas em auditoria para a Delegacia de Polícia de Repressão aos Crimes contra a Administração Pública e Ordem Tributária (Deat). 

“O caso chama a atenção pela fragilidade dos controles”, disse a ZH o delegado Max Otto Ritter, da Deat.

E tanto. Do ponto de vista de segurança da informação, o caso uma série de falhas nas práticas do órgão. O primeiro questionamento é saber como os fraudadores obtiveram a senha sem participação do servidor.

A Zero Hora não chega a revelar durante que período de tempo foram feitas as alterações no sistema. Seja qual for o período, parece que não havia a prática de trocar senhas.

O sistema também não tinha o acesso bloqueado fora do horário de expediente, ou uma classificação sobre de que máquinas ele poderia ser acessado, ou uma política de monitoramento em tempo real dos acessos que pudesse barrar comportamento suspeito em tempo real.

Tudo isso indica potenciais problemas bem maiores do que alguns picaretas de carros usados tentando escapar de pagar algumas taxas. 

Usando um pouco de imaginação, é possível pensar no que um grupo de hackers mais bem organizado poderia fazer em um sistema tão facilmente infiltrável.

Acessar o sistema para saber onde estão veículos de luxo de um determinado tipo, quem sabe?

Veja também

SEGURANÇA
Itaú Unibanco: IA em câmeras

O banco não revela quem fornece os equipamentos.

SEGURANÇA
Boa Vista: outro vazamento de dados?

Inquérito vai apurar um suposto vazamento nos sistemas de ranking de crédito da Boa Vista Serviços.

COTIDIANO
Seus colegas olham pornô no trabalho

Pesquisa da Kaspersky Lab revela hábitos dos profissionais brasileiros.

SEGURANÇA
Vazamento de dados no Sicredi?

Hackers ou funcionários descontentes? Dados de clientes de Arroio do Meio estão na Internet.

PROTEÇÃO
Segurança da Informação: desafios e tendências

Toda organização precisa considerar a segurança da informação como uma prioridade em seu negócio.

ENERGIA
Echoenergia tem segurança com Fortinet

Projeto inclui infraestrutura e segurança da informação em seu ambiente de rede, com consultoria da Danresa.

MERCADO
CYLK compra empresa startup de segurança

Forte da Munio é  softwares para proteção de ambientes SCADA.

VAZAMENTO?
MPDFT investiga segurança da Stone

Partes do código-fonte do programa proprietário utilizado nos sistemas da empresa foram tornados públicos. 

DATA CENTER
Miyahira lidera segurança no UOL Diveo

O executivo passou pelas áreas de segurança da DASA e SKY Brasil, além da área de TI da Embraer.

REDE SOCIAL
Falha de segurança leva ao fim do Google+

Falha permitiu que desenvolvedores externos acessassem dados de usuários entre 2015 e março de 2018.