Por Redação O Sul | 12 de março de 2020
Pelo menos 76 mil brasileiros tiveram seus dados pessoais e biométricos expostos por uma falha de segurança nos servidores da empresa Antheus Tecnologia. De acordo com os pesquisadores que detectaram o problema, os dados estavam armazenados em um servidor sem qualquer verificação de credenciais.
A falha de segurança foi descoberta por um time da Safety Detectives liderado pelo pesquisador Anurag Sen. Ao todo, foram expostos 16 GB de dados altamente sensíveis dos clientes da empresa – além das impressões digitais, também estavam armazenadas no servidor informações de reconhecimento facial, emails e números de telefone de funcionários.
A Antheus Tecnologia, fundada em 1996 e sediada em Curitiba, presta serviços para órgãos como o Detran e as polícias Militar e Civil, e seus sistemas são utilizados para emitir documentos como RG e carteira de habilitação.
O comprometimento dessas informações preocupa os especialistas porque, diferentemente de senhas, os dados biométricos não podem ser alterados. Isso significa que os clientes da Antheus Tecnologia que tiveram seus dados expostos estão vulneráveis a fraudes e tentativas de extorsão.
A empresa permite que os clientes acessem os servidores para fazer login no sistema ou registrar novos usuários, o que é uma prática incomum no ramo e facilita o vazamento das informações armazenadas.
Os pesquisadores da Safety Detectives recomendam cuidado ao instalar aplicativos e programas, e também ao divulgar informações online.
Outro lado
Em nota, a Antheus Tecnologia diz que o servidor afetado era de testes, que os dados biométricos presentes nele “são públicos” – tirados do Nist (Instituto Nacional de Padrões e Tecnologia) de Maryland (EUA) – e “podem ser livremente copiados pela internet”. Não seriam imagens ou registros biométricos, mas “logs de eventos de servidor no formato texto, gerados para validação dos testes do software”.
Além disso, a empresa afirma que seu software “é seguro, utiliza criptografia forte, e nunca sofreu qualquer tipo de invasão digital”, que os dados de seus clientes “estão seguros e nunca foram expostos”, e que “nunca foi vítima de furto de dados”.
