Não faça como a Secretaria da Fazenda de São Paulo

Publicado por Perfil removido em 06/12/2008

[ Hits: 8.098 ]

0 0

 

Denuncie   Favoritos   Indicar   Impressora

Não faça como a Secretaria da Fazenda de São Paulo



Hoje todos nós temos que nos preocupar com segurança da informação, com ela podemos tomar principalmente decisões, mas também cometer crimes. Por isso é fundamental que todo software que possua informações sensíveis tenha uma boa equipe de programadores, uma boa equipe de gestão de segurança e um código muito bem testado e estruturado.

Nesta dica vou ser um pouco mais específico, vou falar sobre o erro gravíssimo cometido pela Secretaria do Estado de São Paulo (daqui para frente vou chamar de apenas SF-SP).

A SF-SP é um dos órgãos públicos que possui uma quantidade imensurável de informações sensíveis, confidenciais, que devem ser exibidas apenas para seus titulares, salvo em circunstâncias especiais. Eles, por possuírem essas informações, tem por sua vez a obrigação de as manter seguras, a salvo de criminosos na Internet. Mas não é bem o que vem acontecendo.

Depois de quase um mês de reclamações sobre uma grande falha de segurança envolvendo informações sensíveis e robôs, perdi a minha paciência e decidi sair a público com a falha de segurança, que poderia ter sido corrigida, mesmo que de maneira paliativa em questão de minutos.

Ocorre que o site da IPVANet SF-SP não possui controle de quantidade de pesquisas por usuário (IP, login etc), nem um captcha (teste de idiota), apenas um controle de sessão muito complicado mas desvendável, não diria nem que se trata de uma proteção, mas de uma gambiarra. Isto possibilita que se usem robôs para que se capturem informações pessoais confidenciais, como CPF/CNPJ, Placa, Renavam, Chassi, informações do modelo etc.

Para que você não cometa os mesmos erros recomendo sempre aplicar um teste de idiota em formulários que retornam informações sensíveis e também um limitador de consultas por dia, minuto, hora (fica a seu critério), ou até mesmo ambos a depender do caso.

Para vocês que residem em São Paulo e querem saber mais sobre a falha para que possam se defender, segue o link do meu Blog, inclusive com o código que explora a falha:

Proteja-se, estão nem aí com suas informações

Outras dicas deste autor

Sabayon - Habilitando packages-delta

Configurando placa de rede Atheros no FreeBSD 8.0 para redes WPA-TKIP

Bootando Linux com disquete e pendrive (sem cdrom)

Jogo Counter Strike 2D rodando nativamente no Linux

Resolver problema "Got error 127 from table handler" no MySQL

Leitura recomendada

Instalando um servidor de domínio Samba

Impressão no SIAFI com Ubuntu

Debian com KDE - Habilitando cliques do Touchpad

Operador cast

Conhecendo o DuZeru T.I

  

Comentários
[1] Comentário enviado por aroldobossoni em 06/12/2008 - 17:18h

A informatização do setor publico do estado de SP é uma piada.
Segurança não existe. Qualquer um consegue mexer na maioria dos sistemas de qual quer orgão publico. Basta querer.

[2] Comentário enviado por albertguedes em 06/12/2008 - 19:41h

Cara , nem sei o que dizer.
Este é um doa artigos mais sóbrios que já li no site, e extremamente de utilidade pública.
Pode ter certeza que isso vai ter um bom retorno.
Excelente.

[3] Comentário enviado por annakamilla em 07/12/2008 - 00:55h

realmente esse artigo é ótimo e serve para vermos como as coisas são em nosso pais. eles não tem o direito de tirar o dinheiro do nosso bolso sem fazer alguma coisa decente, não moro em são paulo mas dá para perceber que não é só na rua que não temos segurança, na Internet também.

[4] Comentário enviado por wizard.slack em 07/12/2008 - 10:28h

Quer que eles resolvam?
além da divulgacao pela net.
também temos que divulgar por outros meios de comunicacão..!!
absurdo a falta de competencia!

[5] Comentário enviado por gorlandi em 08/12/2008 - 13:37h

É tanta a falta de competência, que se esquecem que os dados deles mesmos estão para todos!!


[6] Comentário enviado por franklincsilva em 24/06/2009 - 10:28h

Absurda mesmo a falta de competência!
Temos e precisamos tomar alguma atitude quanto a isto, não nossos dados, familia, trabalho e outros... que estão ou vão ser prejudicados com essa bagunça toda!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Conhecendo o openSUSE Kalpa

IA Turbina o Desktop Linux enquanto distros renovam forças

Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)

Linux em 2025: Segurança prática para o usuário

Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado

Dicas

Como usar Gpaste no ambiente Cinnamon

Atualizando o Fedora 42 para 43

Como saber se o seu e-mail já teve a senha vazada?

Como descobrir se a sua senha já foi vazada na internet?

Como instalar o repositório do DBeaver no Ubuntu

Tópicos

VOL já não é mais como antes? (9)

É normal não gostar de KDE? (13)

E aí? O Warsaw já está funcionando no Debian 13? [RESOLVIDO] (15)

Secure boot, artigo interessante, nada técnico. (4)

copiar library para diretorio /usr/share/..... su com Falha na a... (1)

Top 10 do mês

Scripts

[Shell Script] Task Manager para Terminal

[Shell Script] Atualizar Debian versão 2.0

[Shell Script] fuckdrive - zerador de unidades

[Shell Script] Script para atualizar o Debian 13

[Shell Script] Script para teste de THP no sistema

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: