Não faça como a Secretaria da Fazenda de São Paulo

Publicado por Perfil removido em 06/12/2008

[ Hits: 8.081 ]

0 0

 

Denuncie   Favoritos   Indicar   Impressora

Não faça como a Secretaria da Fazenda de São Paulo



Hoje todos nós temos que nos preocupar com segurança da informação, com ela podemos tomar principalmente decisões, mas também cometer crimes. Por isso é fundamental que todo software que possua informações sensíveis tenha uma boa equipe de programadores, uma boa equipe de gestão de segurança e um código muito bem testado e estruturado.

Nesta dica vou ser um pouco mais específico, vou falar sobre o erro gravíssimo cometido pela Secretaria do Estado de São Paulo (daqui para frente vou chamar de apenas SF-SP).

A SF-SP é um dos órgãos públicos que possui uma quantidade imensurável de informações sensíveis, confidenciais, que devem ser exibidas apenas para seus titulares, salvo em circunstâncias especiais. Eles, por possuírem essas informações, tem por sua vez a obrigação de as manter seguras, a salvo de criminosos na Internet. Mas não é bem o que vem acontecendo.

Depois de quase um mês de reclamações sobre uma grande falha de segurança envolvendo informações sensíveis e robôs, perdi a minha paciência e decidi sair a público com a falha de segurança, que poderia ter sido corrigida, mesmo que de maneira paliativa em questão de minutos.

Ocorre que o site da IPVANet SF-SP não possui controle de quantidade de pesquisas por usuário (IP, login etc), nem um captcha (teste de idiota), apenas um controle de sessão muito complicado mas desvendável, não diria nem que se trata de uma proteção, mas de uma gambiarra. Isto possibilita que se usem robôs para que se capturem informações pessoais confidenciais, como CPF/CNPJ, Placa, Renavam, Chassi, informações do modelo etc.

Para que você não cometa os mesmos erros recomendo sempre aplicar um teste de idiota em formulários que retornam informações sensíveis e também um limitador de consultas por dia, minuto, hora (fica a seu critério), ou até mesmo ambos a depender do caso.

Para vocês que residem em São Paulo e querem saber mais sobre a falha para que possam se defender, segue o link do meu Blog, inclusive com o código que explora a falha:

Proteja-se, estão nem aí com suas informações

Outras dicas deste autor

VirtualBox no Ubuntu e derivados - Instalando os adicionais para convidado

Usando o Ubuntu After Install - Ubuntu 14.04

GAIM com suporte a SSL no Slackware

Backup com tar remoto

Synaptic com proxy

Leitura recomendada

Debian testing com pacotes Sid opcionais

Aprenda a voar sem segredos com o Kernel Linux 2.6.34-omnislash

Problemas com o TLS do aMSN 0.95

Documentário: INPROPRIETÁRIO: O Mundo do Software Livre

Instalação passo a passo do Ocomon

  

Comentários
[1] Comentário enviado por aroldobossoni em 06/12/2008 - 17:18h

A informatização do setor publico do estado de SP é uma piada.
Segurança não existe. Qualquer um consegue mexer na maioria dos sistemas de qual quer orgão publico. Basta querer.

[2] Comentário enviado por albertguedes em 06/12/2008 - 19:41h

Cara , nem sei o que dizer.
Este é um doa artigos mais sóbrios que já li no site, e extremamente de utilidade pública.
Pode ter certeza que isso vai ter um bom retorno.
Excelente.

[3] Comentário enviado por annakamilla em 07/12/2008 - 00:55h

realmente esse artigo é ótimo e serve para vermos como as coisas são em nosso pais. eles não tem o direito de tirar o dinheiro do nosso bolso sem fazer alguma coisa decente, não moro em são paulo mas dá para perceber que não é só na rua que não temos segurança, na Internet também.

[4] Comentário enviado por wizard.slack em 07/12/2008 - 10:28h

Quer que eles resolvam?
além da divulgacao pela net.
também temos que divulgar por outros meios de comunicacão..!!
absurdo a falta de competencia!

[5] Comentário enviado por gorlandi em 08/12/2008 - 13:37h

É tanta a falta de competência, que se esquecem que os dados deles mesmos estão para todos!!


[6] Comentário enviado por franklincsilva em 24/06/2009 - 10:28h

Absurda mesmo a falta de competência!
Temos e precisamos tomar alguma atitude quanto a isto, não nossos dados, familia, trabalho e outros... que estão ou vão ser prejudicados com essa bagunça toda!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

IA Turbina o Desktop Linux enquanto distros renovam forças

Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)

Linux em 2025: Segurança prática para o usuário

Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado

IA chega ao desktop e impulsiona produtividade no mundo Linux

Dicas

Atualizando o Fedora 42 para 43

Como saber se o seu e-mail já teve a senha vazada?

Como descobrir se a sua senha já foi vazada na internet?

Como instalar o repositório do DBeaver no Ubuntu

Como instalar o Plex Media Server no Ubuntu

Tópicos

Warcraft II Remastered no Linux? (8)

Instalação dualboot Windows 11 e Debian 13 (7)

Programa fora de escala na tela do pc (37)

Mint Xfce não mantém a conexão no wi-fi (0)

Eu queria adicionar a incon do wifi e deixa transparente no fluxbox no... (0)

Top 10 do mês

Scripts

[Shell Script] Atualizar Debian versão 2.0

[Shell Script] fuckdrive - zerador de unidades

[Shell Script] Script para atualizar o Debian 13

[Shell Script] Script para teste de THP no sistema

[Shell Script] Deixando o Plasma6 mais fluido

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: