O acesso ao sistema da Polícia Rodoviária Federal (PRF) foi negociado por R$ 200 em bitcoin supostamente através do serviço de mensagens Telegram, reportou o Tecmundo nesta quarta-feira (17).
Em posse de informações que dão acesso ao sistema da instituição, os invasores podem se conectar a dados sigilosos de qualquer veículo, como multas, veículos em pátio, boletins de ocorrências e até mesmo troca de emails entre os policiais, além de dados pessoais, revelou o site.
O login de acesso à plataforma, que é o Sistema Integrado de Consultas Operacionais (SICOP), foi negociado no mês passado por 0.008 BTC, cerca de R$ 200 nesta data, segundo a reportagem que citou fontes anônimas.
“É possível multar qualquer veículo do Brasil. Resumidamente, tudo que a Polícia Rodoviária Federal consegue fazer, você também consegue”, disse uma fonte anônima ao Tecmundo.
O SICOP armazena uma série de dados de diversos tipos de veículos, como placa, chassi, Renavam, entre outros. Quem tem acesso ao sistema pode facilmente conferir praticamente tudo relacionado a um determinado veículo, diz o site.
Acionada no primeiro dia de outubro pelo Tecmundo — que enviou arquivos para apreciação, a PRF disse que irá investigar o caso e retornou:
“[A PRF] preza pela transparência e lisura de seus servidores para atender sua missão institucional perante a sociedade. Portanto, averiguaremos as evidências para responsabilização de possíveis transgressões ou crimes”.
Isto se refere a ter acesso para preencher campos vazios com a placa, modelo, etc de um veículo e finalizar ‘aplicando’ uma multa, por exemplo, diz o site, que salientou que não há outro tipo de proteção extra de segurança para expedir multas, como uma autenticação em dois fatores (2FA), por exemplo.
E não para por aí. Tendo a plataforma ‘em mãos’, o invasor também pode, segundo o site, preencher uma tabela chamada ‘Cadastro de Ocorrência Policial’ e atribuir crimes a qualquer cidadão por meio de criação de um boletim de ocorrência, sem nenhum impedimento no login.
Vazamento ou phishing
Considerando que vai haver investigação por parte das autoridades, ainda não se sabe como os cibercriminosos obtiveram os logins de acesso, mas é possível que as informações tenham sido adquiridas por meio de vazamento ou phishing, afirmou o site.
No entanto, segundo a fonte anônima que cooperou com o Tecmundo, os logins foram obtidos por meio de e-commerce, redes sociais, bancos e sites que já foram invadidos, o que sugere que funcionários da instituição (PRF) utilizaram o e-mail corporativo para cadastro em sites.
“Quando um cibercriminoso coloca as mãos em uma lista de vazamento e encontra um login como esse da PRF, é que nem ouro”, disse a fonte anônima à reportagem.
- Acompanhe a cotação das 100 maiores criptomoedas do mercado, acesse: https://portaldobitcoin.uol.com.br/cotacoes/
Procurando o melhor lugar para fazer seus trades?
A Huobi, exchange líder em ativos digitais, chegou ao Brasil! Crie sua conta em menos de 1 minuto. Plataforma em português, mais de 150 altcoins, taxa de apenas 0,20%, liquidez e muita segurança, acesse: https://www.huobi.com/
