Mais uma série de vulnerabilidades foram exploradas utilizando a técnica de SQL Injection em sites bastantes conhecidos. IBGE, um site de uma cervejaria bem famosa, e o mais grave foi encontrado na FUVEST.

O autor desta descoberta foi o @unknown_antisec, o mesmo que descobriu a vulnerabilidade em um importante banco brasileiro e a reportou. A instituição financeira respondeu ao pesquisador que a vulnerabilidade foi corrigida e até o agradeço. Ético o rapaz em..

Voltando aos outros sites do tema deste post, fui informado que a vulnerabilidade dá acesso a alguns dados bem interessantes, mas nada que comprometa o negócio da empresa ou exponha os seus funcionários. Mas isso é bem diferente no caso da FUVEST, onde foi relatado que é possível ter acesso aos dados dos usuários do portal e até mesmo dos inscritos no vestibular. Dados como CPF, NOME, Endereço são facilmente capturados.

Alguns pontos importantes, nenhuma senha foi exposta ou encontrada e mais, não é possível alterar notas, avisando logo aos espertinhos de plantão, e essa vulnerabilidade não compromete o vestibular de ninguém.

Vale lembrar que o @unknown_antisec é um jovem pesquisador de segurança que não deseja causar qualquer mal as empresas, ele somente está pesquisando o quanto o time de TI destas empresas está preparado para suportá-las. Estamos vendo que em nada né ?!

A exposição destas vulnerabilidades demonstra a importância da realização de scans de vulnerabilidades antes da aplicação ser divulgada para Internet, entrar em produção. Sabemos que não há desenvolvedores capacitados em criar programas e/ou códigos seguros, mas há como descobrir o ponto fraco de um ambiente ou aplicação rodando programas opensource e disponíveis em distribuições Linux focadas em segurança.

Eu lembrei de uma coisa escrevendo este post, há alguns anos, um grupo de fraudadores vendia um serviço, pela Internet, que dizia que eles conseguiam mudar as notas dos inscritos na FUVEST já que invadiam os servidores e tinham acesso a base de dados. Depois de um tempo foi descoberto que tudo não passava de uma mentira só para conseguir roubar dinheiro dos trouxas, mas teve gente que caiu no conto do vigário e além de ter perdido dinheiro, acabou sendo preso.

Atualização: Fui informado que a Faculdade Federal do Paraná, a UFPR, está vulnerável ao mesmo tipo de ataque, mas neste caso, o ataque pode ser devastador.

Vale lembrar também que o autor desta descoberta já informou as empresas e instituições sobre a existência das vulnerabilidades e espera contato para passar mais detalhes.

Acredito que este tipo de atitude posso melhorar e muito a segurança dos grandes portais governamentais em todo o país.

Compartilhar:

Este post tem 7 comentários

  1. E o que fazer quando você descobre a vulnerabilidade, comunica a instituição de ensino, e esta não faz nada para corrigir a falha, permanecendo na negligência?

  2. Isso é problema dela. Vc foi ético em avisar e não explorá-la.

  3. mas depois de avisar, se atacarem? a batata quente sobre pra vc?

  4. Creio que não.

    Não divulgamos o local da falha e mesmo assim, está lá, qualquer um pode explorar, não é porque foi publicado aqui ou não.

    Mas não acho que sobre pra ninguem, apenas procuramos avisar.

  5. Existem Falhas e sempre vão existir! O da FUVEST eu não tive o prazer de ver-lo, mas direto e reto encontro erros desde leves, ate erros que com um pouco de insistencia, vc pode abrir o db todo e contudo, fazer o que quiser!

  6. O site da minha universidade (UFSJ) está completamente de pernas abertas, desde kernel desatualizado (!!!Ubuntu Server 9.10!!!) no departamento de computação até phpmyadmin default em toda a estrutura…

    E acreditem, já tem espertinhos explorando, mas avisar não adianta nada, não mexer por questão de preguiça…

  7. não mexem***

Deixe uma resposta

Fechar Menu