Ontem (9), o grupo hacker Cyberteam publicou em sua conta oficial no X que o sistema nacional de filiados do PT esconde uma falha crítica de segurança. Eles dizem ter acessado 2,9 milhões de registros completos – todos os filiados do partido no Brasil – trocando apenas um número em uma URL interna.
O acesso veio de uma vulnerabilidade chamada IDOR, que deixa portas escancaradas para quem sabe mexer nos links. O grupo lista 11 categorias expostas:
- CPF integral
- Título eleitoral com zona e seção
- Endereço de casa com CEP exato
- Três telefones (incluindo WhatsApp)
- Data de nascimento
- Nomes dos pais
- Profissão
- Religião
- Etnia
- Orientação sexual
- Faixa salarial.
Riscos: O que hackers fazem com esses Dados
Com esse arsenal de dados, como CPF, endereço exato e WhatsApp, inúmeros ataques cirúrgicos poderiam ser realizados. CPF + título eleitoral servem pra financiamentos falsos em bancos digitais. Endereço com CEP apoia furtos direcionados; telefones alimentam SMS phishing personalizado. Segundo o Cyberteam, porém, intenção não é usar os dados e sim demonstrar a falha para forçar correção. “Exploramos para alertar, não disseminar”, diz o comunicado no X – hacktivismo puro, na visão deles, com brecha ativa até PT blindar o sistema.
Entramos em contato com a assessoria de imprensa do PT para solicitar uma posição oficial. Caso seja respondido, o post será atualizado.
