A Agência ainda afirma em seu site que possui 200 mil pessoas credenciadas, mas que poderia atingir cerca de 2,5 milhões de brasileiros.

O portal Passe Livre da ANTT (Agência Nacional de Transportes Terrestres), que é ligada ao Ministério da Infraestrutura, expôs por tempo indeterminado os dados sensíveis de cerca de um milhão de brasileiros com deficiência inscritos no programa federal.

De acordo com a ANTT, o Passe Livre é um “programa que garante a pessoas com deficiência e comprovadamente carentes o acesso gratuito ao transporte coletivo interestadual por rodovia, ferrovia e barco. O programa é para pessoas com deficiência física, mental, auditiva, visual, múltipla, com ostomia ou doença renal crônica, de baixa renda”.

No entanto, um vazamento identificado indicava que o portal Passe Livre armazenava os dados de cerca de um milhão pessoas com identificador único no arquivo, é possível rastrear cerca de 930 mil.

O pesquisador de segurança “Taifeyb” alertou ao TecMundo que as informações eram facilmente acessadas por qualquer cidadão que se cadastrar no portal de empresas do Passe Livre Interestadual (mesmo com dados fictícios na inscrição).

Ao checar o arquivo aberto ao público, foi possível encontrar informações como: nome completo do requerente, telefone residencial (ou celular), número de documento (RG), parcial do CPF, data de nascimento, sexo, número de credencial (identificador pessoal), data de validade, número do Passe Livre, número do processo, situação do requerente, abreviação do requerente, fotos do requerente, documento SGL UF e nome completo e dados do acompanhante.

“Dado o grande volume de informações sensíveis contidas neste arquivo, é imperativo que medidas imediatas sejam tomadas para protegê-lo e garantir a privacidade e segurança das pessoas envolvidas. As informações contidas neste arquivo estão vulneráveis a ataques cibernéticos e qualquer acesso não autorizado pode ter sérias consequências para as pessoas envolvidas”, notou Taifeyb.

A ANTT corrigiu a vulnerabilidade. Segue o informe: “A Agência Nacional de Transportes Terrestres (ANTT) informa que o incidente reportado está sendo apurado. A Agência também antecipa que está em desenvolvimento um novo sistema do Passe Livre que garantirá maior navegabilidade e segurança aos solicitantes do benefício. Esse novo mecanismo será lançado em breve”.

A obtenção dos dados foi realizada após o cadastro simples em dois domínios de consulta do Passe Livre, de acordo com a fonte.

Dentro do sistema, no item “Acesso Offline”, existe um programa em Java com todos os arquivos supostamente criptografados, ou seja, protegidos.

A chave para liberação da criptografia estava presente no mesmo ambiente

O problema é que a chave criptográfica para a liberação dos arquivos podia ser visualizada no código Java do próprio programa.

“Utilizei os dados fictícios 01234567890 e 1234 para fazer login e tive acesso ao portal, onde pude consultar qualquer um dos protocolos e obter a foto das pessoas”, explicou o pesquisador.

De acordo com o Manual Operacional do programa Passe Livre, a última atualização de normas teria acontecido em 2018.

Fonte: Tecmundo