Acabei de receber a informação que o site do Jornal Diário de SP sofreu um ataque bem sucedido e diversos dados foram capturados. Dados como login de usuário, telefone, senhas de acesso administrativo e até do Twitter foram expostos, vejam a evidência enviada abaixo:
O autor do ataque foi o @unkonwn_antisec e ele já enviou um email ao Diário informando da vulnerabilidade e como ela foi explorada. Ele me informou que o objetivo do seu ataque foi para fins educacionais e que nenhuma informação do Jornal Diário de SP foi alterada.
Este blog tem como objetivo ensinar e alertar pessoas e empresas quanto a má configuração de seus ambientes. Sou contra a geração de prejuízos, somente informo este tipo de ataque pra fins educacionais, sem divulgar a vulnerabilidade encontrada e nem a forma como ela foi explorada neste caso, para que a empresa não seja prejudicada.
Pessoal que administra o Diário SP, a primeira coisa que você devem fazer é analisar a vulnerabilidade e mitigá-la, depois disso, alterar todas as suas senhas que por sinal são bem fortes parabéns..
como tu msm disse gustavo no videocast com o thiago bordini ….SHIT HAPPENS !!!
Cara, tenho acompanhado no seu blog as descobertas do ‘@unkonwn_antisec’ e vc menciona que ele sempre tem avisado as empresas, a pergunta é: Como as empresas brasileiras tem recebido estes ataques éticos para fins educacionais ? Elas agradecem a informação de bom grado (afinal foi prestado um serviço para elas…) ou não gostam e querem te rastrear, ameaçam.. ou coisa do tipo…?
abs e parabéns pelo blog
Bom……..algumas empresas me retornam o email agradecendo……outras somente corrigem a falha……..mas vale a pena fazer isso…….aprendi muito com o Gustavo a questão de ser ético e isso é gratificante!………
……………..Mesmo que meu trabalho não seja reconhecido