Read, hack, repeat

Brechas em associações vazam dados sensíveis para criminosos estrangeiros

Ramon de Souza

Duas associações brasileiras possuem graves vulnerabilidades em seus sistemas online — brechas que podem ser utilizadas por criminosos para obter acesso a dados sensíveis, apurou a The Hack. A denúncia de tais brechas partiu do pesquisador de segurança Richard Guedes.

  • Gostaria de denunciar alguma vulnerabilidade, vazamento ou outro incidente cibernético para nós? Envie um email para hello@thehack.com.br; garantimos a sua total privacidade.

Uma das instituições afetadas é a Associação Comercial e Empresarial de Bangu (ACERB), que, como seu nome sugere, dedica-se a unir representantes comerciais e empresariais que atuam na região de Bangu, bairro da zona oeste do Rio de Janeiro. Suas atividades incluem a catalogação de empreendimentos locais, a manutenção de um banco de currículos de profissionais cariocas e a organização de eventos diversos.

A outra vítima é a Associação Brasileira de Estudos de Inteligência e Contrainteligência (ABEIC), que, desde a década de 90, se propõe a ser um fórum para debate e produção científica nas áreas de inteligência e contrainteligência. O órgão, além de promover cursos próprios (presenciais e na modalidade à distância — EAD), também organiza eventos e publica estudos científicos em áreas de interesse aos seus associados.

Problemas e riscos

A questão, em ambos os casos, é que os respectivos sites estão vulneráveis a ataques diversos, incluindo injeção cega de SQL (uma variação da injeção de SQL tradicional que pode ser usada para extrair informações de um banco de dados ao “perguntar”ao servidor se um parâmetro é verdadeiro ou não), cross-site scripting (XSS) e cross-site request forgery (CSRF).

No geral, isso significa que um atacante pode obter acesso a conteúdos sigilosos do sistema atacado e até mesmo executar códigos arbitrários para lesar outros visitantes do website.

No caso específico da ABEIC, existe ainda uma outra falha igualmente perigosa: um formulário de contato que pode ser empregado para enviar códigos maliciosos para o servidor. O mais chocante é que tal vulnerabilidade já foi explorada por um grupo de criminosos indianos conhecidos como LulzSec India, que publicou uma página em PHP em um diretório do website em questão.

Basta acessar a URL (https://www.abeic.org.br/style/bootstrap/Lulz.php) para confirmar que o site já foi invadido pela equipe citada, que ainda assinou a “pichação digital” com os apelidos de cinco hackers.

O impacto de todas as essas brechas é altíssimo. No caso da ACERB, um criminoso pode utilizar as informações roubadas para disparar uma campanha de phishing direcionado aos associados e parceiros da instituição. Já no caso da ABEIC, estamos falando de dados pessoais de investigadores, promotores, militares e figuras ligadas à inteligência brasileira — tudo isso exposto e desprotegido na web.

Sem respostas

A The Hack notificou ambas as instituições no dia 14 de agosto para obter esclarecimentos, mas não obteve retorno de nenhuma delas por email ou por telefone. No momento em que esta reportagem foi escrita, as vulnerabilidades continuavam válidas; sendo assim, recomendamos cautela por parte dos associados da ACERB e da ABEIC em relação a eventuais golpes e fraudes digitais.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.