Não faça como a Secretaria da Fazenda de São Paulo

Publicado por Perfil removido em 06/12/2008

[ Hits: 7.948 ]

0 0

 

Denuncie   Favoritos   Indicar   Impressora

Não faça como a Secretaria da Fazenda de São Paulo



Hoje todos nós temos que nos preocupar com segurança da informação, com ela podemos tomar principalmente decisões, mas também cometer crimes. Por isso é fundamental que todo software que possua informações sensíveis tenha uma boa equipe de programadores, uma boa equipe de gestão de segurança e um código muito bem testado e estruturado.

Nesta dica vou ser um pouco mais específico, vou falar sobre o erro gravíssimo cometido pela Secretaria do Estado de São Paulo (daqui para frente vou chamar de apenas SF-SP).

A SF-SP é um dos órgãos públicos que possui uma quantidade imensurável de informações sensíveis, confidenciais, que devem ser exibidas apenas para seus titulares, salvo em circunstâncias especiais. Eles, por possuírem essas informações, tem por sua vez a obrigação de as manter seguras, a salvo de criminosos na Internet. Mas não é bem o que vem acontecendo.

Depois de quase um mês de reclamações sobre uma grande falha de segurança envolvendo informações sensíveis e robôs, perdi a minha paciência e decidi sair a público com a falha de segurança, que poderia ter sido corrigida, mesmo que de maneira paliativa em questão de minutos.

Ocorre que o site da IPVANet SF-SP não possui controle de quantidade de pesquisas por usuário (IP, login etc), nem um captcha (teste de idiota), apenas um controle de sessão muito complicado mas desvendável, não diria nem que se trata de uma proteção, mas de uma gambiarra. Isto possibilita que se usem robôs para que se capturem informações pessoais confidenciais, como CPF/CNPJ, Placa, Renavam, Chassi, informações do modelo etc.

Para que você não cometa os mesmos erros recomendo sempre aplicar um teste de idiota em formulários que retornam informações sensíveis e também um limitador de consultas por dia, minuto, hora (fica a seu critério), ou até mesmo ambos a depender do caso.

Para vocês que residem em São Paulo e querem saber mais sobre a falha para que possam se defender, segue o link do meu Blog, inclusive com o código que explora a falha:

Proteja-se, estão nem aí com suas informações

Outras dicas deste autor

Atualizando o kernel nos Ubuntu Like sem trauma... mesmo!

O Que Fazer Após Instalar o LMDE 4 Debbie

ffplay - Player flv .deb

Como instalar o Xampp no Ubuntu [vídeo]

Listando informações sobre o hardware com o comando dmidecode através da tabela DMI.

Leitura recomendada

Liberando mais espaço em disco

Como executar automaticamente scripts na inicialização do SystemD Linux

Cotação do Dólar no Linux em modo texto

Qual distribuição utilizar

Prova de fogo do Linux

  

Comentários
[1] Comentário enviado por aroldobossoni em 06/12/2008 - 17:18h

A informatização do setor publico do estado de SP é uma piada.
Segurança não existe. Qualquer um consegue mexer na maioria dos sistemas de qual quer orgão publico. Basta querer.

[2] Comentário enviado por albertguedes em 06/12/2008 - 19:41h

Cara , nem sei o que dizer.
Este é um doa artigos mais sóbrios que já li no site, e extremamente de utilidade pública.
Pode ter certeza que isso vai ter um bom retorno.
Excelente.

[3] Comentário enviado por annakamilla em 07/12/2008 - 00:55h

realmente esse artigo é ótimo e serve para vermos como as coisas são em nosso pais. eles não tem o direito de tirar o dinheiro do nosso bolso sem fazer alguma coisa decente, não moro em são paulo mas dá para perceber que não é só na rua que não temos segurança, na Internet também.

[4] Comentário enviado por wizard.slack em 07/12/2008 - 10:28h

Quer que eles resolvam?
além da divulgacao pela net.
também temos que divulgar por outros meios de comunicacão..!!
absurdo a falta de competencia!

[5] Comentário enviado por gorlandi em 08/12/2008 - 13:37h

É tanta a falta de competência, que se esquecem que os dados deles mesmos estão para todos!!


[6] Comentário enviado por franklincsilva em 24/06/2009 - 10:28h

Absurda mesmo a falta de competência!
Temos e precisamos tomar alguma atitude quanto a isto, não nossos dados, familia, trabalho e outros... que estão ou vão ser prejudicados com essa bagunça toda!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Automatizando digitação de códigos 2FA no browser

Resolver problemas de Internet

Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)

Descritores de Arquivos e Swappiness

tux-gpt - Assistente de IA para o Terminal

Dicas

Como converter imagens PNG/JPEG para SVG em linha de comando

Fez porcaria no teu repositório Git? Aprenda a restaurar uma versão anterior do seu código!

Restaurando Fontes de Download do Hydra no Linux

Atualizando "na marra" o YT-DLP quando começa a dar erro de downloads

Como instalar o WPS com interface e corretor ortográfico em PT-BR no Arch Linux

Tópicos

O que você está ouvindo agora? [2] (179)

Nova distro Brazuca (7)

Ubuntu 25.04 não instala. (18)

Linux mint não desliga corretamente mesmo mexendo no grub (0)

Como desativar notificações de jogos de azar (2)

Top 10 do mês

Scripts

[Shell Script] Instalador de Hotspot Linux Debian (SysV)

[Shell Script] Script para verificar o Status da bateria

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[C/C++] IPHunter - caçador de ip

[Shell Script] Script de Backup do Perfil dos Usuários do Sistema em Batch do Windows

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: