Hoje fiquei sabendo através de um amigo que o sistema de chamados da anatel possui um furo de segurança que expõe todos dados dos chamados feitos por qualquer pessoa. Incluindo usuário e senha. Sim, isso mesmo, usuário e senha. A vulnerabilidade é tão grande que permite coletar os dados de todos usuários do sistema de maneira trivial por qualquer pessoa que entenda o básico de como funciona a web.
Os irresponsáveis pelo sistema permitem consultar os dados de um chamado sem qualquer forma de autenticação. Basta acessar essa url e trocar o ZZZ pelo número do chamado. Fosse apenas esse o problema não estaria eu tão assustado, porém se olharmos com cuidado para o problema vamos notar uma série de agravantes.
A página inclui uma enorme quantidade de dados pessoais do usuário, desde endereço a telefone e CPF. Estes são dados mais que suficientes para realizar vários tipos de fraudes. Fosse apenas este o problema não estaria tão assustado, pois seria necessário saber o código da solicitação para ler tais informações.
Vamos então verificar a segurança do código do chamado. Abra dois chamados, um em seguida do outro, e note que se trata de um número seqüencial pequeno sem qualquer forma de verificação ou randomização. Ou seja, é trivial coletar todos chamados com ferramentas simples disponível em qualquer computador pessoal.
Finalmente vem a cartada final, reparem nos dados exibidos na página, eles incluem email e cpf. Até ai tudo bem, até você ir para a página de login do sistema e descobrir que para entrar você deve informar, acredite, seu email e cpf. Ou seja, temos como fazer não só harvesting de dados dos usuários, mas de suas senhas também.
Segurança como essa é inadmissivel para um órgão governamental. Isso é ridículo, é um afronte a nossa privacidade. Os amadores que fizeram esse sistema ignoraram todas regras básicas de segurança que qualquer desenvolvedor safo tem a obrigação de saber. Anatel, corrija isso com urgência e tome as devidas medidas administrativas para esse tipo de desastre não ocorra novamente. Por favor, a todos que lerem este texto, liguem já para a Anatel no 0800 33 2001, registrem uma reclamação formal e divulguem esse problema para o quanto antes ser solucionado.
6 responses so far ↓
1 Pedro Pimentel // Aug 21, 2008 at 12:15 pm
Não consigo acessar nenhum dado, os fórmulários ficam em branco..
mas bah, abre o código fonte html.. olha a bagunça que é. tem DIV no meio do head, tem javascript antes da tag html…
Péssimo. e pensar que eu já informei meus dados nesse sistema
:P
2 Leonardo // Aug 21, 2008 at 2:15 pm
eu havia percebido isso a algum tempo, a falha de segurança é absurda.. eu tenho uns 8 chamados aberto na anatel contra a NET- Virtua.. o problema só começou a ser resolvido depois que eu abri os chamados na anatel..um amigo que trabalha lá me disse que quando se abre um chamado automaticamente o sistema da empresa recebe um alerta com o chamado e eles tem prazos para dar satisfação senão levam multa….mas de fato.. deixar logar com o cpf+email é foda…
3 BLOGUSBLOG » Sites do governo: segurança zero! // Aug 21, 2008 at 2:41 pm
[...] O sistema de chamados da anatel possui um furo de segurança que expõe todos dados dos chamados feitos por qualquer pessoa. Incluindo usuário e senha. Sim, isso mesmo, usuário e senha. Veja mais AQUI e AQUI [...]
4 Thiago // Aug 21, 2008 at 5:46 pm
Tentei agora e o site já se encontra em manutenção depois de 7 horas desse tópico !!!
5 Roger Leite // Aug 22, 2008 at 11:19 am
Como o Thiago disse, eu tentei entrar na pá gina e está aparecendo “EM MANUTENÇÃO”
6 Claudio Braga Leite // Sep 2, 2008 at 4:28 pm
Realmente uma vergonha!!! :(
Leave a Comment