Hoje todos nós temos que nos preocupar com segurança da informação, com ela podemos tomar principalmente decisões, mas também cometer crimes. Por isso é fundamental que todo software que possua informações sensíveis tenha uma boa equipe de programadores, uma boa equipe de gestão de segurança e um código muito bem testado e estruturado.

Nesta dica vou ser um pouco mais específico, vou falar sobre o erro gravíssimo cometido pela Secretaria do Estado de São Paulo (daqui para frente vou chamar de apenas SF-SP).

A SF-SP é um dos órgãos públicos que possui uma quantidade imensurável de informações sensíveis, confidenciais, que devem ser exibidas apenas para seus titulares, salvo em circunstâncias especiais. Eles, por possuírem essas informações, tem por sua vez a obrigação de as manter seguras, a salvo de criminosos na Internet. Mas não é bem o que vem acontecendo.

Depois de quase um mês de reclamações sobre uma grande falha de segurança envolvendo informações sensíveis e robôs, perdi a minha paciência e decidi sair a público com a falha de segurança, que poderia ter sido corrigida, mesmo que de maneira paliativa em questão de minutos.

Ocorre que o site da IPVANet SF-SP não possui controle de quantidade de pesquisas por usuário (IP, login etc), nem um captcha (teste de idiota), apenas um controle de sessão muito complicado mas desvendável, não diria nem que se trata de uma proteção, mas de uma gambiarra. Isto possibilita que se usem robôs para que se capturem informações pessoais confidenciais, como CPF/CNPJ, Placa, Renavam, Chassi, informações do modelo etc.

Para que você não cometa os mesmos erros recomendo sempre aplicar um teste de idiota em formulários que retornam informações sensíveis e também um limitador de consultas por dia, minuto, hora (fica a seu critério), ou até mesmo ambos a depender do caso.

Para vocês que residem em São Paulo e querem saber mais sobre a falha para que possam se defender, segue o link do meu Blog, inclusive com o código que explora a falha:

Proteja-se, estão nem aí com suas informações

[1] Comentário enviado por aroldobossoni em 06/12/2008 - 17:18h:

A informatização do setor publico do estado de SP é uma piada.
Segurança não existe. Qualquer um consegue mexer na maioria dos sistemas de qual quer orgão publico. Basta querer.

[2] Comentário enviado por albertguedes em 06/12/2008 - 19:41h:

Cara , nem sei o que dizer.
Este é um doa artigos mais sóbrios que já li no site, e extremamente de utilidade pública.
Pode ter certeza que isso vai ter um bom retorno.
Excelente.

[3] Comentário enviado por annakamilla em 07/12/2008 - 00:55h:

realmente esse artigo é ótimo e serve para vermos como as coisas são em nosso pais. eles não tem o direito de tirar o dinheiro do nosso bolso sem fazer alguma coisa decente, não moro em são paulo mas dá para perceber que não é só na rua que não temos segurança, na Internet também.

[4] Comentário enviado por wizard.slack em 07/12/2008 - 10:28h:

Quer que eles resolvam?
além da divulgacao pela net.
também temos que divulgar por outros meios de comunicacão..!!
absurdo a falta de competencia!

[5] Comentário enviado por gorlandi em 08/12/2008 - 13:37h:

É tanta a falta de competência, que se esquecem que os dados deles mesmos estão para todos!!

[6] Comentário enviado por franklincsilva em 24/06/2009 - 10:28h:

Absurda mesmo a falta de competência!
Temos e precisamos tomar alguma atitude quanto a isto, não nossos dados, familia, trabalho e outros... que estão ou vão ser prejudicados com essa bagunça toda!