Braço forte, mão amiga, site frágil

giphy.gif
 

O site do Alistamento Militar Online, subdomínio de responsabilidade do Exército Brasileiro, possuía falhas de segurança graves que podiam ser exploradas para obter dados sensíveis de internautas. A The Hack teve a oportunidade de, com exclusividade, conhecer tais vulnerabilidades, que foram descobertas e reportadas pelo analista de segurança João Vitor dos Santos Fontoura, de apenas 17 anos. As brechas foram descobertas no começo deste mês e devidamente corrigidas na semana passada.

Como explicado por João em um detalhado laudo informacional (compartilhado com nossa equipe e validado por nossos consultores técnicos), uma das falhas encontradas era do tipo Insecure Direct Object Reference (IDOR), ou Referência Insegura e Direta a Objetos. Basicamente, neste tipo de vulnerabilidade, o internauta consegue acessar dados que deveriam permanecer ocultos ao simplesmente alterar parâmetros na URL do site inseguro.

No caso, qualquer usuário logado no sistema do Alistamento Militar Online enxergava um ID próprio e o número de seu RA (certificado de alistamento) no endereço do site. Ao editar esses campos, era possível visualizar informações e o certificado de outros jovens que utilizaram o site para se alistar ao Exército, sem precisar informar login e senha. Este bug foi encontrado em dois hosts distintos.

Já a segunda brecha era ainda mais grave, consistindo em três hosts que sofriam de cross-site scripting (XSS), que possibilita a injeção de código malicioso para roubar a identidade da vítima (cookies) e até mesmo controlar o navegador em totalidade. Ambos os bugs constam no Top 10 de vulnerabilidades web do Open Web Application Security Project (OWASP) ou Projeto Aberto de Segurança em Aplicações Web.

Notificado por João no dia 13, o Centro de Defesa Cibernética (CDCiber) do Exército Brasileiro resolveu os problemas no dia 19. Apesar da agilidade em consertar as brechas, a entidade ignorou nossas tentativas de contato para obter um posicionamento oficial a respeito do assunto.

É importante observar que o Exército Brasileiro sofre constantemente com problemas cibernéticos: em 2015, por exemplo, depois que o CDCiber foi acusado de trapacear em competições de capture the flag (CTF), seus servidores foram invadidos e 7 mil contas foram vazadas na web.


While you were sleeping...

  • Um grupo hacker conseguiu explorar falhas no navegador Safari para acessar o kernal do macOS e obter controle total do sistema operacional. O feito aconteceu durante a Pwn2Own 2019 em Vancouver, Canadá. Eles levaram US$ 45 mil.

  • Por falar em macOS, a Microsoft anunciou que pretende lançar uma versão do Windows Defender para o SO da Maçã. Obviamente, ele vai ser renomeado e se chamará Microsoft Defender Advanced Threat Protection (ATP).

  • A refinaria norueguesa Norsk Hydro foi alvo de um ataque de ransomware na última semana, o que impactou em boa parte de sua operação. A empresa anunciou que não pagará o resgate e usará backups; a polícia local está investigando o caso.

 
 
 

GOSTOU?

Se inscreva e receba nossa newsletter com mais conteúdos bacanas como este.

COMPARTILHa com a galera.