O Instituto Nacional de Colonização e Reforma Agrária (INCRA) deixou exposto um diretório com cerca de 1,4 GB de documentos, muitos deles com dados pessoais de famílias que vivem em zonas rurais.

A denúncia, feita por um usuário anônimo e confirmada pelo site The Hack, revela uma situação muito grave, pois não se tratou de uma vulnerabilidade criada pela má-configuração de um serviço em nuvem, mas era apenas um dos diretórios da wiki interna do órgão que, ao invés de estar protegido por senha, estava totalmente aberto, permitindo que qualquer pessoa pudesse acessar.

A maioria dos documentos pertencem ao Sistema Nacional de Cobrança de Créditos de Instalação (SNCCI), por isso contêm não apenas dados pessoais (como nome completo, endereço e número do CPF dos beneficiários), como também dados financeiros das reparação e concessões de crédito liberadas pelo INCRA.

Exemplo de planilha que podia ser acessada no diretório que estava aberto ao público (IMagem: The Hack)

Também foi possível encontrar planilhas de controle interno do órgão, listando propriedades rurais, dados de engenheiros contratados para trabalhar nos assentamentos e o número de famílias beneficiadas pelo órgão. Não foi possível fazer a checagem de todos os documentos existentes, mas uma previsão inicial é de que o vazamento — que conta com documentação relativo ao período entre 2014 e 2019 — afetou um número de pessoas na casa dos milhões.

Caso algum criminoso tenha tido acesso a esses dados, eles podem ser usados para aplicar esquemas de fraude nas famílias rurais (que costumam ser mais propensas a cair neste tipo de golpe) ou ainda usar os e-mails oficiais de engenheiros e agentes públicos para invadir os computadores dessas pessoas através de golpes de phishing.

Criado em 1970, a função do INCRA é gerenciar o cadastro nacional de imóveis rurais e administrar terras públicas. Um das principais funções do órgão é a de identificar latifúndios improdutivos, comprar essas terras de seus donos, dividi-las em propriedades menores (os chamados assentamentos) e entregá-los a famílias rurais em situação econômica de risco, para que possam trabalhar a terra e adquirir dela o sustento necessário.

De acordo com o site The Hack, o INCRA foi notificado sobre o diretório aberto para público no dia 24 de setembro, mas respondeu o contato apenas no dia 2 de outubro, afirmando que não iria comentar sobre o assunto. O diretório já não se encontra mais aberto ao público, mas não se sabe exatamente em qual dia o acesso a ele foi fechado, quanto tempo ele ficou aberto e nem quantas pessoas de fora do INCRA tiveram acesso ao material.

Fonte: The Hack