Uma única alteração em um endereço de URL foi suficiente para que o grupo hacker Cyberteam tivesse acesso irrestrito a 2,9 milhões de registros completos de filiados ao Partido dos Trabalhadores (PT). A descoberta, tornada pública ontem (9) no X (antigo Twitter), escancara uma falha do tipo Insecure Direct Object Reference (IDOR) – vulnerabilidade que permite a qualquer pessoa consultar dados privados apenas mudando números sequenciais no link.
O que exatamente ficou exposto?
Segundo o Cyberteam, 11 categorias de informações estavam liberadas:
- CPF integral;
- Título de eleitor com zona e seção;
- Endereço completo com CEP;
- Até três telefones, incluindo WhatsApp;
- Data de nascimento;
- Nome dos pais;
- Profissão;
- Religião;
- Etnia;
- Orientação sexual;
- Faixa salarial.
É praticamente um “pacote premium” de dados sensíveis, valioso em fóruns clandestinos de cibercrime.
Por dentro da vulnerabilidade IDOR
O IDOR é um erro de controle de acesso: o servidor não confere se quem pediu o recurso tem permissão para vê-lo. Em sistemas mal projetados, basta incrementar ou decrementar um número na URL para acessar outros cadastros. A falha é silenciosa e de fácil exploração, razão pela qual ela figura no OWASP Top 10 – a lista das vulnerabilidades web mais críticas.
Perigos práticos para o usuário comum
Com CPF e título eleitoral, golpistas podem abrir contas em bancos digitais ou solicitar crédito em seu nome. O endereço com CEP facilita fraudes de entrega e até assaltos direcionados. Telefones nutrem golpes de phishing via SMS ou WhatsApp, agora turbinados com dados pessoais que aumentam a credibilidade da mensagem.
Para quem é gamer ou entusiasta de hardware, isso significa que aquela compra parcelada da tão sonhada RTX 4070 ou do processador Ryzen 7 pode acabar em uma cobrança indevida se seus dados forem usados em financiamentos fantasmas.
O que diz o Cyberteam e qual o próximo passo
No comunicado, o grupo afirma seguir a linha do hacktivismo – invadiram “para alertar, não para lucrar”. A publicação pressiona o PT a corrigir a falha, que segundo eles permanece ativa. A redação entrou em contato com a assessoria do partido e aguarda posicionamento oficial.
Imagem: William R
Como se proteger – boas práticas que valem para qualquer serviço online
1. Monitore seu CPF em serviços de proteção ao crédito e configure alertas gratuitos quando possível.
2. Habilite autenticação de dois fatores (2FA). Tokens físicos como a YubiKey – compatível com Gmail, Steam e bancos – reduzem drasticamente o risco de invasão mesmo se suas senhas vazarem.
3. Use e-mail dedicado para cadastros políticos ou comunitários, separando-o da conta principal de compras e jogos.
4. Desconfie de ligações ou mensagens que citem seus dados pessoais; golpistas usam informações verdadeiras para criar confiança.
Por que a notícia interessa a quem acompanha tecnologia e hardware
Cada novo vazamento alimenta um mercado clandestino que financia desde compras fraudulentas de eletrônicos até ataques de phishing em massa contra gamers. Quanto mais completo o dossiê de dados, maior a chance de você acordar com suas contas na Steam, Amazon ou bancos bloqueadas. Em um cenário de PC Gaming onde placas de vídeo e periféricos premium estão cada vez mais caros, garantir a integridade do seu cadastro online é parte essencial do “setup”.
O episódio reforça a lição: segurança não é recurso opcional, é especificação essencial – tanto para o site que coleta dados quanto para o usuário que quer proteger seus investimentos em hardware.
Com informações de Hardware.com.br
