Arquivo ‘solto’ afeta segurança de site de venda de ingressos

Um pesquisador de segurança encontrou um arquivo chamado “backup.rar” no site Ingresso Fácil. No pacote, o código fonte de várias páginas do site, inclusive as que lidavam com o cadastro dos usuários e até a senha do banco de dados, estavam disponíveis. A principal revelação era a presença de uma página que permitia o envio de arquivos ao site sem nenhuma senha, o que permitiria o comprometimento total do site.

A empresa responsável pelo site disse que não houve acesso ao banco de dados. Um indivíduo mal-intencionado teria tentado invadir o site, mas não conseguiu chegar aos dados dos clientes antes que o problema fosse notado. “Não houve acesso nem aos dados do cliente, nem aos dados da empresa”, informou a assessoria de imprensa da Ingresso Fácil.

Uma página no site de vendas de ingressos traz selos de segurança com o título “Site Seguro”.

O arquivo foi encontrado pelo pesquisador de segurança Vinícius Camacho, mais conhecido como “K-Max”, enquanto testava uma ferramenta de análise de segurança que ele mesmo desenvolveu. “Fui enviar o link por DM (mensagem direta do Twitter), mas errei e saiu pra geral”. Em seguida, o link “viralizou” no Twitter – muitas pessoas o republicaram. “Aí tranquei o upload para ninguém aprontar com o site”, contou o especialista.

O especialista em segurança Wagner Elias afirma que é muito comum que desenvolvedores web pensem que arquivos “soltos” no servidor não representam risco.  “O pessoal desconhece que por mais que não exista nenhum link ou chamada direta ao arquivo, o conteúdo ainda pode ser acessado”, diz.

De acordo levantamento do organização OWASP, especializada em segurança de websites, essa é uma das 10 falhas mais comuns em sites de internet.

“As consequências podem levar ao comprometimento total do ambiente, pois foi possível acessar todo o código e explorar falhas que possibilitam ganhar acesso ao ambiente”, afirma Elias. Segundo ele, a falha provavelmente foi ocasionada por um descuido de alguém que colocou o arquivo no site.

A Ingresso Fácil também informou que ainda está investigando o caso para tomar as medidas necessárias.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s