Criminosos usavam senhas de funcionário para fazer alterações de dados.
A Polícia Civil desarmou um esquema que se aproveitava da fragilidade da política de segurança da informação no Detran do Rio Grande do Sul para fazer alterações fraudulentas na base de dados do órgão.
Segundo revela a Zero Hora, foram pelo menos 955 operações ilegítimas no sistema Gerenciamento de Informações do Detran-RS (GID), que reúne dados cadastrais de veículos.
Foram cumpridos 18 mandados e feitas quatro prisões, incluindo proprietários de revendas de automóveis, que se beneficiaram do esquema pagando menos taxas.
Os fraudadores tiveram acesso à senha de um funcionário, por meios ainda desconhecidos. De acordo com os investigadores, o servidor não é cumplíce.
De posse da senha, os fraudadores precisavam apenas tomar a precaução de fazer as alterações fora do horário de expediente e nos finais de semana, de tal forma a não “derrubar” o usuário real do sistema e levantar suspeitas.
Foram feitas modificações nos registros de pelo menos 322 carros no Estado, causando prejuízo ao Detran, até o momento, de R$ 450 mil.
As alterações incluem dados como nome do proprietário, a existência de multas ou numeração do chassi e do Renavam. Até mesmo carros em nome de pessoas mortas foram transferidos de forma fraudulenta.
A investigação começou quando o Detran levou as suspeitas apuradas em auditoria para a Delegacia de Polícia de Repressão aos Crimes contra a Administração Pública e Ordem Tributária (Deat).
“O caso chama a atenção pela fragilidade dos controles”, disse a ZH o delegado Max Otto Ritter, da Deat.
E tanto. Do ponto de vista de segurança da informação, o caso uma série de falhas nas práticas do órgão. O primeiro questionamento é saber como os fraudadores obtiveram a senha sem participação do servidor.
A Zero Hora não chega a revela durante que período de tempo foram feitas as alterações no sistema. Seja qual for o período, parece que não havia a prática de trocar senhas.
O sistema também não tinha o acesso bloqueado fora do horário de expediente, ou uma classificação sobre de que máquinas ele poderia ser acessado, ou uma política de monitoramento em tempo real dos acessos que pudesse barrar comportamento suspeito em tempo real.
Tudo isso indica potenciais problemas bem maiores do que alguns picaretas de carros usados tentando escapar de pagar algumas taxas.
Usando um pouco de imaginação, é possível pensar no que um grupo de hackers mais bem organizado poderia fazer em um sistema tão facilmente infiltrável.
Acessar o sistema para saber onde estão veículos de luxo de um determinado tipo, quem sabe?
Fonte: Portal Baguete
