Credenciais de acesso ao sistema de vistorias veiculares do Brasil vazaram e permitiram consultas a informações pessoais e de veículos de cerca de 33 milhões de brasileiros, segundo denúncia enviada ao site TecMundo e confirmada pela reportagem com o Serviço Federal de Processamento de Dados (Serpro). Cibercriminosos vendem essas informações para aplicação de golpes via painéis do crime.
O ataque ao Sistema de Certificação de Segurança Veicular (SisCSV), utilizado pelo Detran, deixou exposto fotos de veículos, informações de placa, modelo, cor e tipo de transporte, além do nome completo, CPF, endereço, data e localização da vistoria. A exposição atingiu motoristas de todo o País. A denúncia foi enviada ao TecMundo via email anônimo, assinado pelo vulgo ‘Undefined Brazil’. Segundo o material recebido, foram atingidos cerca de 33 milhões laudos de vistoria únicos realizados até 2024.
O TecMundo ficou em contato com o Serviço Federal de Processamento de Dados (Serpro) ao longo das últimas semanas para checar a correção do problema.
O Serpro afirma que o SisCSV afetado é a versão legado (Sislv) e, atualmente, seria utilizada uma nova versão. Além disso, que não é responsável pela manutenção deste sistema, que registrou apenas acessos de credenciais válidas e que atua “na camada de infraestrutura do sistema no intuito de elevar os padrões de segurança da aplicação”.
A declaração completa do Serpro ao TecMundo pode ser acompanhada, na íntegra, mais abaixo. Também, questionamos quem seria o atual responsável pelo sistema, mesmo com o Serpro já mitigando o problema, visto que a posição atual é que o sistema foi entregue por uma empresa terceira, com código fechado, ao SENATRAN (Secretaria Nacional de Trânsito) — não recebemos uma resposta até o momento.
O Detran de São Paulo também foi acionado sobre o caso e esclareceu que “não há qualquer registro de falha ou vazamento em seus sistemas, que seguem operando com plena segurança e estabilidade”. Porém, confirmam que o problema reside no SISCSV, plataforma federal administrada pelo Serpro.
“O Detran-SP está acompanhando o tema junto aos órgãos federais competentes (SENATRAN) e reafirma seu compromisso com a privacidade e a proteção dos dados dos cidadãos paulistas”, finaliza.
No material recebido pelo TecMundo, foi possível apurar que a exposição atingiu registros realizados até 2024 — a fonte afirma que os logins ficaram disponíveis por tempo indeterminado. Ainda, a fonte contradiz a informação de que o sistema utilizado seria o legado, tendo enviado ao TecMundo os links referentes ao SisCSV utilizados em grupos no Telegram para acesso não-autorizado.
A falha no SisCSV é problema comum no Brasil
O problema que envolveu o SisCSV, infelizmente, é bem comum na internet: a falta de segundo fator de autenticação (2FA).
Credenciais (login e senha) de funcionários acabaram vazando ao longo do tempo. Com esses dados em mãos, cibercriminosos apenas logavam no sistema do DETRAN para roubar as informações. Não havia uma segunda camada de segurança, via SMS ou aplicativo terceiro, para barrar acessos fraudulentos.
Este tipo de ataque é conhecido na comunidade de cibersegurança como credential stuffing. De modo resumido, criminosos armazenam e utilizam senhas corporativas vazadas. Dependendo da empresa, mesmo senhas antigas continuam funcionando por uma falta de reset da equipe de infraestrutura.
O método de invasão é corroborado no próprio posicionamento do Serpro quando afirma que, em análise inicial, “há um cenário de acessos ao sistema por meio de uso de credenciais válidas, hipótese que ainda precisa ser confirmada até a conclusão da investigação técnica que se encontra em andamento”.
Ainda sobre o leak, segundo a denúncia recebida, os veículos são separados por ID dentro do sistema, o que facilita uma automação para extrair dados. O sistema completo abrigaria 5 TB, com 232 milhões de imagens de veículos — cerca de 33 milhões únicos.
Abaixo, vamos elencar de modo claro o que foi exposto:
- Nome completo e CPF;
- Endereço residencial;
- Renavam;
- Dados do vistoriador;
- Data e localização da vistoria;
- Fotos do veículo;
- Modelo do veículo (marca, cor, espécie, combustível, carroceria, placa, chassi, ano, UF, datas);
- Escopo da inspeção.
Os painéis de consulta são velhos conhecidos do cibercrime brasileiro. Normalmente, esses sites costumam ofertar acessos que vão de R$ 10 até R$ 200 para qualquer um acessar informações como CPF, RG, endereço, números telefônicos, score de crédito, dados de veículos e outros.
A existência desses painéis se vale de acessos não autorizados e vazamentos de dados — dessa maneira, os cibercriminosos responsáveis têm a capacidade de revitalizar os ofertas.
Vale notar que a indenização por vazamento de dados é válida, segundo o Superior Tribunal de Justiça (STJ). Foi decidido que empresas que disponibilizarem informações pessoais de consumidores para terceiros, sem aviso prévio ou autorização, podem ser condenadas por violar os chamados direitos de personalidade.
Posicionamento do Serpro sobre o caso
“Em relação à denúncia feita pelo TecMundo a respeito de possível vazamento de dados, o Serpro informa que, apesar da amostra enviada mencionar o Siscsv, o Sistema de Certificação de Segurança Veicular, que há alguns anos foi responsável pelas vistorias veiculares, a análise realizada pela estatal de tecnologia concluiu que os dados enviados na denúncia foram obtidos do sistema legado de registro de Laudos de Vistoria Veicular, o Sislv Legado.
O Serpro esclarece que não é responsável pelo desenvolvimento, manutenção ou sustentação do Sislv Legado. A empresa é apenas provedora da infraestrutura tecnológica que suporta o funcionamento do sistema de laudos de vistoria da Senatran.
Mesmo diante de um cenário restrito de atuação, após a denúncia enviada pelo TecMundo, as equipes técnicas do Serpro iniciaram um trabalho minucioso de análise das logs dos servidores e credenciais de acesso ao sistema em busca da identificação de qualquer comportamento anômalo de uso.
Até o presente momento não foram identificadas evidências de invasão ao sistema que pudesse acarretar no vazamento de dados apontado pela denúncia. As análises iniciais indicam um cenário de acessos ao sistema por meio de uso de credenciais válidas, hipótese que ainda precisa ser confirmada até a conclusão da investigação técnica que se encontra andamento.
O Serpro informa, ainda, que está adotando ações pontuais na camada de infraestrutura do sistema no intuito de elevar os padrões de segurança da aplicação”.
O que dizem especialistas de segurança
O TecMundo conversou com o analista de segurança (Red Team) Renato Borbolla sobre o caso. Borbolla comenta que “o vazamento do Detran, que vem à tona periodicamente, serve como um lembrete constante da importância da segurança da informação e do valor inestimável dos dados”.
“O recente vazamento de dados do Detran reacende um alerta importante sobre o quanto nossa segurança digital ainda é vulnerável. Informações como nome, CPF, endereço, placa e modelo de veículo, quando expostas, deixam de ser simples registros administrativos e passam a ter um alto valor no submundo digital. Nas mãos erradas, esses dados viram combustível para golpes, fraudes e ataques direcionados e os danos vão muito além da perda de privacidade”, comenta.
O analista adiciona que, com esse tipo de informação, criminosos conseguem montar estratégias de engenharia social cada vez mais convincentes. “Saber detalhes reais sobre o carro ou o endereço da vítima dá credibilidade às abordagens fraudulentas. Não é raro que golpistas se passem por representantes do Detran, seguradoras ou autoridades de trânsito, enviando notificações falsas de multas ou pendências para induzir o cidadão a clicar em links maliciosos ou efetuar pagamentos indevidos”, adiciona.
Entre os diversos golpes que cidadãos podem ser impactados, há a usurpação de identidade. Borbolla explica que, quando dados pessoais como nome, CPF e endereço são expostos, torna-se possível abrir contas bancárias, contratar serviços e até realizar operações financeiras fraudulentas em nome da vítima.
Ele revela ainda que “quando essas informações são cruzadas com dados do veículo, os criminosos conseguem montar um perfil completo da pessoa, aumentando muito as chances de sucesso em ataques futuros. Há, ainda, o risco físico: saber onde alguém mora e qual carro dirige pode expor padrões de rotina e locais frequentados, comprometendo a segurança pessoal do brasileiro”.
Como se proteger
O TecMundo recomenda os seguintes passos:
- Utilize antivírus: mantenha um bom antivírus instalado no seu celular e computador (Avast, Kaspersky, ESET, MalwareBytes etc);
- Atenção aos golpes direcionados: vazamentos do tipo são ouro para cibercriminosos especializados em spear phishing. É importante que você redobre a atenção para mensagens urgentes recebidas de serviços que você utilize. Confie na sensação de estranhamento em mensagens recebidas;
- Atenção ao CPF: utilize o Registrato, do Banco Central, para acompanhar movimentações no seu CPF;
- Proteja-se: tenha segundo fator de autenticação em todas as suas contas (se possível, com app terceiro, sem SMS);
- Utilize novas senhas longas (mais de 12 caracteres) e complexas;
- Altere suas senhas a cada seis meses e não repita entre serviços.
Como fazer denúncias ao TecMundo
Pesquisadores, hackers e analistas de segurança podem enviar relatos ao TecMundo pelos canais abaixo:
