Quando se pensa em soluções online de portais governamentais, a expectativa do usuário médio é que todas as operações feitas através da página e informações guardadas no banco de dados sejam mais seguras do que em serviços comuns, certo? Mais uma vez, porém, analistas do setor de segurança provam que, no caso de diversas páginas brasileiras do governo, isso não poderia estar mais longe da verdade.
Nesta terça-feira (4), recebemos uma mensagem da Merces Letifer Security – uma empresa nacional que presta serviços de segurança da informação e Pentest (Hacker Ético) – informando que, após uma verificação superficial de alguns sites do governo brasileiro, notou-se que grande parte deles sofriam com uma vulnerabilidade relativamente simples, mas que põe em risco todos os dados contidos neles: o SQL Injection.
Diversas páginas governamentais brasileiras estão suscetíveis ao SQL Injection
A falha foi notada pelos hackers em links específicos das páginas do Corpo de Bombeiros Militar do Piauí, da Prefeitura de São João de Boa Vista, da Prefeitura Municipal de Aguaí, do Conselho Estadual de Defesa dos Direitos da Mulher e do Hemocentro do Estado do Rio Grande do Sul. Segundo eles, esse tipo de problema – infelizmente – é bastante comum no meio, mas não atinge só sites governamentais. Afinal, qualquer página em que exista uma comunicação constante com o banco de dados local é suscetível a vulnerabilidades.
Entendendo o problema
Isso se origina de uma desatenção generalizada dos administradores
Questionados a respeito do que costuma abrir essas brechas nos servidores, a equipe da Merces Letifer Security afirmou que os motivos podem ser os mais variados, mas que, em geral, esses cenários que fazem com que as informações dos usuários acabem ficando em posição de risco se originam de uma desatenção generalizada dos administradores dos portais.
“São diversos os fatores que levam a esse tipo de vulnerabilidade, sendo o principal deles o mal gerenciamento das permissões na linguagem de programação BackEnd do site – neste caso, o PHP. Isso porque elas são diretamente responsáveis por toda a comunicação entre a página e o servidor/banco de dados”, explicou um dos membros do grupo.
“Assim, esse tipo de vulnerabilidade permite a injeção de códigos maliciosos em um formulário, por exemplo, que então, ao passar as informações para o servidor ou banco de dados, causa uma confusão que pode dar acesso a informações restritas como logins, senhas e dados de usuários. Ou seja: acesso ao banco de dados completo e até mesmo ao servidor”, finalizou.
TecMundo Denúncia
Caso tenha percebido vulnerabilidades como essa em sites ou lojas ou queira alertar a respeito de alguma falha de segurança em portais e serviços brasileiros na web, basta mandar uma mensagem para o email: denuncia@tecmundo.com.br. Com o material em mãos, nossa equipe vai investigar os dados, conferir o quanto a brecha pode ser danosa para os usuários e, caso a denúncia seja confirmada, pode publicar uma reportagem alertando o público a respeito do ocorrido.
Fontes
Categorias