7.000.000: Spammers podem obter dados completos de usuários no site da Anatel
“Uma falha de segurança no site da Anatel permite que qualquer internauta acesse os dados pessoais – nome, telefone, CPF, e-mail, endereço, entre outros – de qualquer uma das pessoas que registraram um dos mais de sete milhões de chamados abertos na agência.
O alerta foi feito à redação do Baguete pelo leitor Diego Plentz. O jovem gaúcho, de 22 anos, descobriu a deficiência ao consultar um pedido seu na página da Anatel e divulgou o caso em seu blog nesta quinta-feira, 21.
Os IDs dos chamados são seqüenciais, de tal forma que basta trocar um número para ter acesso a informações de outras pessoas. O login é uma combinação de CPF e e-mail, dados que a falha permite obter irregularmente, agravando a situação.
“É inacreditável uma falha dessas, um verdadeiro paraíso para spammers”, indigna-se Plentz. Um dos leitores do diário do técnico inclusive programou um sistema que permite a qualquer um armazenar
todas as informações expostas pela falha.O Baguete comunicou o caso à Anatel e está no aguardo de uma posição oficial do órgão. O post de Pletz pode ser conferido na íntegra pelo link relacionado abaixo.”
Enviado por Gustavo Melo (gustavoΘlogar·com·br) – referência (baguete.com.br).
@brlinuxblog
Feed RSS
Deixa eu adivinhar: ASP com IIS?
Foi a primeira coisa que eu também pensei quando hackearam o site do COB. E estava certo :P
Dados já foram retirados do ar:
outra notícia no mesmo site, horas depois dessa aí:
http://www.baguete.com.br/noticiasDetalhes.php?id=27675
e o post do carinha que reportou:
http://plentz.org/2008/08/21/e-a-privacidade-anatel/
amadores mesmo.
pior que eu tou lá.
:-(
Não tem nada a ver com ASP ou .Net ou IIS ou Microsoft…
Tem a ver com o programador estupido que fez aquele lixo por achar que eh “mais facil”
Emerson, existem programadores bons e ruins. Em qualquer linguagem. :-)
Não tem nada a ver com ASP ou .Net ou IIS ou Microsoft…
Tem a ver com o programador estupido que fez aquele lixo por achar que eh “mais facil”
São as duas coisas. Sistema Microsoft + Programador estúpido = esta notícia que estamos comentando.
Apesar de concordar com o Lucas, o Emerson Gomes tinha razão.
Veja: http://flickr.com/photos/plentz/2784235159/sizes/l/
Apesar de concordar com o Lucas, o Emerson Gomes tinha razão.
Veja: http://flickr.com/photos/plentz/2784235159/sizes/l/
Era asp mesmo
Pelos deuses. Essa foi uma das mais patéticas falhas de segurança que vi.
Só perde para filmes, onde o cara digita a senha, o computador responde “INVALID PASSWORD”, o cara digita “OVERRIDE” e o computador deixa entrar.
Emerson: Leia PELO MENOS até o terceiro parágrafo do post antes de trollar, assim evita fazer papel ridículo.
o do cob tinhs mssql no meio ainda… é capaz de ter sido aquela falha de injeção de código divulgada recentemente.
O nada é mais produtivo como o bom e velho POG.
Para Cardoso e tantos outros:
Não estou criticando IIS e ASP em si.
São tecnologias que quando bem utilizadas são eficientes e seguras.
O que estou criticando é o perfil do programador que utiliza essas tecnologias. Em sua esmagadora maior parte, tratam-se de programadores “inexperientes”, para usar uma palavra amigável.
Resumindo, o número de maus programadores/admins em plataformas MS é muito muito do que o número de programadores/admins plataforma OS.
Motivos? Devem existir vários, mas acho que o principal é a doutrinização em massa que ocorre em faculdades para plataformas MS, aliada a um bom tanto de visão de cabresto por esse perfil de profissional.
Emerson, sua mensagem NÃO passa essa idéia. Nem de longe. NO MÍNIMO é um desrespeito a um monte de profissionais sérios que trabalham com ambiente IIS e nunca tiveram problemas de segurança, por terem competência suficiente para fazer seu trabalho direito.
Não convenceu. Não leu a notícia, soltou a trollada e agora quer consertar.
Quanto aos maus programadores, sugiro que se atualize. Tivemos muitos maus programadores em clipper, péssimos em ASP, horríveis em Delphi e horrendos em PHP. A linguagem mais popular e simples vai ser SEMPRE a com maior número de maus programadores.
Difícil é achar um programador muito ruim em C. Desse Darwin cuida.
Cardoso, interprete a notícia e meus comentários da forma que bem entender. Livre arbítrio serve pra isso.
Agora, se você prestar atenção no que escrevi, verá que mencionei “a maior parte” e não “100%” dos programadores. Sei que existe gente séria e profissional que trabalha com ASP/IIS. Só disse que estes não são a maioria. Mas no “a maior parte”, adiciono os que são profissionais ditos “responsáveis, sérios e competentes” até que esse tipo de coisa aconteça.
Outra coisa que você está ignorando completamente é o contexto que estamos mencionando, ou seja, da privacidade de informações online.
Uma coisa é um péssimo programador Clipper/Delphi/Php/Asp que faz sistemas para o tio da farmácia e a mãe usarem, e outro que faz um sistema governamental/corporativo com dados sigiloso de milhões de pessoas.
Sinceramente não lembro de nenhum caso famoso, recente ao menos, onde isso tenha acontecido com plataformas OSS.
A questão da plataforma vem em segundo plano, abaixo do problema principal.
Só notar o número de sites da própria Microsoft que foram atacados por SQL Injection: http://www.zone-h.org/content/view/14980/1/
Se os profissionais IIS/ASP da própria microsoft não forem “sérios e competentes”, não sei quem pode ser…
Resumindo, quando fiz o primeiro comentário, realmente não sabia que tipo de plataforma o site utilizava, apenas juntei mentalmente estatísticas do cenário que me levaram a concluir o que disse. E que no final de contas estava certo.
Como já disse um sábio, quem faz a segurança de um sistema é o programador/administrador.
Ademais, eu nem sei por que vocês estão espantados de terem uma falha que libere “nome, telefone, CPF, e-mail, endereço, entre outros”; quando se registra um domínio, todas essas informações ficam disponíveis publicamente para quem quiser ver. No caso dos internacionais, endereço e telefone completos; No dos nacionais, embora o registro.br esteja ocultando o endereço e telefone das pessoas físicas, ainda é possível ver o CPF das mesmas. E aí, cadê a privacidade?
Tem quem demitir esse incompetente e ser processado por vazamento de informações. Se meu nome estiver na relação vou botar pra F…..
[]´s
Mas lá eu estou consciente, no caso da Anatel, nós não estávamos…
já vi muito site com esse problema
tem uns caras que usam um sistema de boleto bancário pronto, acho que da locaweb, que coloca ids sequenciais, aí mudando os ids vai aparecendo os outros boletos
portanto prestem atenção antes de colocar seus dados em qualquer site
.
http://toolbar.netcraft.com/site_report?url=http://www.anatel.gov.br
.
http://www.anac.gov.br/arus/focus/faleconosco/MostrarDetalheSolicitacao.asp?idtSolicitacao=759
owned.
Será que são todos os sites do governo? hahaha owned mesmo.
Acho que vou pegar alguns emails e fazer uma corrente, algo assim:
“Você sabia que após fazer uma reclamação para o governo seu CPF, emil, telefone, etc… ficam expostos a qualquer um?
Não acredita? Então veja o seu aqui:
Link – Nome do Fulano”
Será que dá xabú?
PS – A Netcraft está viajando na batatinha?
Windows Server 2003 Microsoft-IIS/6.0
Linux Microsoft-IIS/6.0
Linux unknown
Linux Microsoft-IIS/6.0
Windows 2000 Microsoft-IIS/5.0
A Anac está rodando o IIS via wine?? hehhe
Ta dificil achar os programadores asp competentes que falaram ali em cima
primeiro post:
http://www.anac.gov.br/arus/focus/faleconosco/MostrarDetalheSolicitacao.asp?idtSolicitacao=499
teste do gerente de informatica da anac:
http://www.anac.gov.br/arus/focus/faleconosco/MostrarDetalheSolicitacao.asp?idtSolicitacao=501
último post:
http://www.anac.gov.br/arus/focus/faleconosco/MostrarDetalheSolicitacao.asp?idtSolicitacao=766
A culpa obviamente é do programador, mas alguém aí por acaso discorda que o IIS e o ASP propiciam esse tipo de prática?
Eu não discordo…
POG Ruleia.