Pesquisadores da PROOF descobriram duas brechas de segurança no aplicativo e-Título. Uma permite que qualquer um consiga acessar a versão digital do título de eleitor de outra pessoa, munido apenas de informações básicas, como CPF, nome da mãe e local de votação; e a outra permite que consiga bloquear uma conta, munido apenas do nome, do nome da mãe, do pai e da data de nascimento.
No primeiro caso, é possível redefinir a senha da conta do eleitor apenas respondendo perguntas simples, como cidade em que nasceu, endereços antigos, entre outras. Caso a vítima ainda não possua a versão digital do título de eleitor, é possível cadastrá-la no e-Título se utilizando das mesmas informações – lembrando que o cadastro não poderá ser feito no dia das eleições. Uma vez na conta da pessoa, é possível ainda obter outras informações pessoais, disponíveis no aplicativo, ou mesmo cadastrá-la como mesária, dentre outras funcionalidades presentes no e-Título.
No segundo caso, a brecha permite causar indisponibilidade em alguma conta no momento das eleições, uma vez que a própria conta é bloqueada por uma hora caso o número de três tentativas seja excedido.
Cabe notar que dados de brasileiros foram massivamente vazados nos últimos anos – com vazamento de dados de número superior ao da atual população do Brasil, em 2021. Segundo um estudo recente da empresa holandesa Surfshark, o Brasil é o 4º maior país do mundo em número de casos de usuários violados, atrás apenas de Rússia, Índia e China. No caso de pessoas públicas – como políticos –, é ainda mais fácil obter informações pessoais, como nome da mãe e local de votação.
A falha já foi reportada ao TSE. Há poucos dias das eleições, a PROOF reforça seu compromisso de melhorar a resiliência cibernética do País, e seguiremos mantendo nossos clientes e a comunidade informada sobre novos fatos relevantes.
Salientamos que as vulnerabilidades descobertas não possuem nenhuma relação com as urnas eletrônicas. O e-Título é um aplicativo da Justiça Eleitoral que tem como objetivo servir como alternativa ao título de eleitor impresso, além de outras funcionalidades, como consultar o local de votação, justificar a ausência no dia da votação, se cadastrar como mesário, gerar certidões de quitação eleitoral, dentre outras.
A PROOF se coloca à disposição em casos de dúvidas, ou considerações.
Vídeo que circula nas redes, evidenciando a vulnerabilidade: