Comments on: 7.000.000: Spammers podem obter dados completos de usuários no site da Anatel

By: pog

pog — Mon, 25 Aug 2008 20:45:26 +0000

POG Ruleia.

By: Jack Ripoff

Jack Ripoff — Mon, 25 Aug 2008 19:38:46 +0000

A culpa obviamente é do programador, mas alguém aí por acaso discorda que o IIS e o ASP propiciam esse tipo de prática?

Eu não discordo…

By: r.

r. — Mon, 25 Aug 2008 04:30:52 +0000

primeiro post: http://www.anac.gov.br/arus/focus/faleconosco/MostrarDetalheSolicitacao.asp?idtSolicitacao=499 teste do gerente de informatica da anac: http://www.anac.gov.br/arus/focus/faleconosco/MostrarDetalheSolicitacao.asp?idtSolicitacao=501 último post: http://www.anac.gov.br/arus/focus/faleconosco/MostrarDetalheSolicitacao.asp?idtSolicitacao=766

By: Raven

Raven — Sun, 24 Aug 2008 17:52:13 +0000

Ta dificil achar os programadores asp competentes que falaram ali em cima

By: MaxRaven

MaxRaven — Sun, 24 Aug 2008 17:38:38 +0000

PS – A Netcraft está viajando na batatinha?

Windows Server 2003 Microsoft-IIS/6.0
Linux Microsoft-IIS/6.0
Linux unknown
Linux Microsoft-IIS/6.0
Windows 2000 Microsoft-IIS/5.0

A Anac está rodando o IIS via wine?? hehhe

By: MaxRaven

MaxRaven — Sun, 24 Aug 2008 17:35:14 +0000

Será que são todos os sites do governo? hahaha owned mesmo.

Acho que vou pegar alguns emails e fazer uma corrente, algo assim:
“Você sabia que após fazer uma reclamação para o governo seu CPF, emil, telefone, etc… ficam expostos a qualquer um?

Não acredita? Então veja o seu aqui:
Link – Nome do Fulano”

Será que dá xabú?

By: r.

r. — Sun, 24 Aug 2008 17:07:59 +0000

owned.

By: teste

teste — Sun, 24 Aug 2008 03:30:33 +0000

http://www.anac.gov.br/arus/focus/faleconosco/MostrarDetalheSolicitacao.asp?idtSolicitacao=759

By: erasmo

erasmo — Sat, 23 Aug 2008 12:46:35 +0000

.
http://toolbar.netcraft.com/site_report?url=http://www.anatel.gov.br

By: argh

argh — Sat, 23 Aug 2008 02:46:10 +0000

já vi muito site com esse problema
tem uns caras que usam um sistema de boleto bancário pronto, acho que da locaweb, que coloca ids sequenciais, aí mudando os ids vai aparecendo os outros boletos
portanto prestem atenção antes de colocar seus dados em qualquer site

By: Marcos Duque Cesar

Marcos Duque Cesar — Sat, 23 Aug 2008 01:22:03 +0000

Mas lá eu estou consciente, no caso da Anatel, nós não estávamos…

By: Tux

Tux — Sat, 23 Aug 2008 01:18:29 +0000

Tem quem demitir esse incompetente e ser processado por vazamento de informações. Se meu nome estiver na relação vou botar pra F…..

[]´s

By: André Machado

André Machado — Fri, 22 Aug 2008 23:19:04 +0000

Como já disse um sábio, quem faz a segurança de um sistema é o programador/administrador.

Ademais, eu nem sei por que vocês estão espantados de terem uma falha que libere “nome, telefone, CPF, e-mail, endereço, entre outros”; quando se registra um domínio, todas essas informações ficam disponíveis publicamente para quem quiser ver. No caso dos internacionais, endereço e telefone completos; No dos nacionais, embora o registro.br esteja ocultando o endereço e telefone das pessoas físicas, ainda é possível ver o CPF das mesmas. E aí, cadê a privacidade?

By: Emerson Gomes

Emerson Gomes — Fri, 22 Aug 2008 21:49:05 +0000

Cardoso, interprete a notícia e meus comentários da forma que bem entender. Livre arbítrio serve pra isso.

Agora, se você prestar atenção no que escrevi, verá que mencionei “a maior parte” e não “100%” dos programadores. Sei que existe gente séria e profissional que trabalha com ASP/IIS. Só disse que estes não são a maioria. Mas no “a maior parte”, adiciono os que são profissionais ditos “responsáveis, sérios e competentes” até que esse tipo de coisa aconteça.

Outra coisa que você está ignorando completamente é o contexto que estamos mencionando, ou seja, da privacidade de informações online.
Uma coisa é um péssimo programador Clipper/Delphi/Php/Asp que faz sistemas para o tio da farmácia e a mãe usarem, e outro que faz um sistema governamental/corporativo com dados sigiloso de milhões de pessoas.
Sinceramente não lembro de nenhum caso famoso, recente ao menos, onde isso tenha acontecido com plataformas OSS.

A questão da plataforma vem em segundo plano, abaixo do problema principal.
Só notar o número de sites da própria Microsoft que foram atacados por SQL Injection: http://www.zone-h.org/content/view/14980/1/
Se os profissionais IIS/ASP da própria microsoft não forem “sérios e competentes”, não sei quem pode ser…

Resumindo, quando fiz o primeiro comentário, realmente não sabia que tipo de plataforma o site utilizava, apenas juntei mentalmente estatísticas do cenário que me levaram a concluir o que disse. E que no final de contas estava certo.

By: cardoso

cardoso — Fri, 22 Aug 2008 20:15:19 +0000

Emerson, sua mensagem NÃO passa essa idéia. Nem de longe. NO MÍNIMO é um desrespeito a um monte de profissionais sérios que trabalham com ambiente IIS e nunca tiveram problemas de segurança, por terem competência suficiente para fazer seu trabalho direito.

Não convenceu. Não leu a notícia, soltou a trollada e agora quer consertar.

Quanto aos maus programadores, sugiro que se atualize. Tivemos muitos maus programadores em clipper, péssimos em ASP, horríveis em Delphi e horrendos em PHP. A linguagem mais popular e simples vai ser SEMPRE a com maior número de maus programadores.

Difícil é achar um programador muito ruim em C. Desse Darwin cuida.