Dados pessoais e parte da base de dados da Agência Nacional de Aviação Civil (ANAC) foi exposta ao TecMundo na última terça-feira (26) de março. Os documentos recebidos indicam que cerca de 20 mil pessoas, com nome completo, CPF e senhas utilizadas estariam expostas para acesso — porém, foram expostas cerca de 250 linhas iniciais do registro.
A exposição foi enviada por Fernando Caro Menardi, 19, estudante de Engenharia de Controle e Automação no IFSP (Instituto Federal de Educação, Ciência e Tecnologia do Estado de São Paulo). Segundo Menardi, a ideia foi ajudar a ANAC a corrigir as vulnerabilidades. O garoto ainda enviou para a agência, por meio do TecMundo, um relatório da brecha — que já foi corrigida pela ANAC.
A Agência Nacional de Aviação Civil resetou todas as senhas que permaneceram iguais desde 2016
Segundo a ANAC, a vulnerabilidade afeta apenas cadastros antigos, provavelmente realizados em 2016. “Foi possível identificar que o cadastro apresentado é antigo, provavelmente de 2016, e que a base de senhas explicitada não é mais utilizada”, disse a Anac. “Já em relação ao Relatório de Vulnerabilidades, a ANAC atua de forma contínua na identificação e correção das fragilidades pela equipe de segurança, sendo esta prioritária no momento”.
Para usuários registrados não encontrarem problemas futuros na plataforma, a Agência Nacional de Aviação Civil resetou todas as senhas que permaneceram iguais desde 2016. “O banco de senhas não é mais usado por nenhum outro sistema. Como procedimento preventivo, a ANAC pegou todas as senhas que estavam expostas naquele arquivo e comparou com as senhas (criptografadas) que são usadas atualmente nos outros sistemas. A partir disso, todas as senhas que permaneceram iguais foram expiradas (reiniciadas)”, completou.
A ANAC informou ao TecMundo que está implementando tecnologia de blockchain para maior segurança
De acordo com Menardi, foi possível obter os dados via SQL Injection. “Esses ataques ocorrem quando dados inseridos pelo usuário são interpretados como comandos SQL pelo banco de dados”, explica o estudante. “É uma vulnerabilidade antiga, mas muito comum, que quando explorada com sucesso, pode acarretar resultados catastróficos. É considerada “grave” ou “crítica” por sistemas de classificação de vulnerabilidades (CVE, por exemplo). A gravidade desses ataques varia de acordo com a configuração do banco de dados realizada no back-end, mas de maneira geral, permitem que um atacante realize leitura e modificações (adulteração, remoção ou incorporação) de dados. Em situações menos comuns, permite a execução de código arbitrário no sistema operacional”.
É interessante notar, para pessoas que tiveram a senha reiniciada pela Anac: caso você utilize a mesma senha em outros serviços, é necessário realizar a troca, já que não se sabe se a vulnerabilidade foi explorada por cibercriminosos.
Dados ANAC
- Como recomendação, nunca utilize a mesma senha em diferentes serviços. Opte por senhas longas, com caracteres especiais, para uma maior segurança
Adicionalmente, a ANAC informou ao TecMundo sobre a inovação trazida na Resolução nº 458/2017, que regulamenta o uso de sistemas informatizados para registro e guarda de informações com o uso de tecnologia Blockchain na própria agência. Essa abordagem é reconhecida como uma forma mais segura de armazenamento de dados e informações, pois garante maior confiabilidade, rastreabilidade, integridade e não repúdio.
“É virtualmente impossível existir corrupção ou perda de dados, sendo a característica fundamental do blockchain, a imutabilidade de registros, com uso da identificação de partes relacionadas e de conteúdo. O recente modelo dispensará a necessidade de acreditação dos softwares utilizados pelos regulados. É uma medida de flexibilização para o uso do registro de informações no Diário de Bordo Digital, previsto na Resolução nº 457/2017. Essa novidade, de trazer para a ANAC o desenvolvimento da solução, é uma maneira bastante adequada de garantir a excelência de segurança no registro dos dados”, completou a agência.
Categorias