Sexta, 14 de agosto de 2020
A Ordem dos Advogados do Brasil (OAB) informou que corrigiu uma falha encontrada no módulo de pré-cadastro do Sistema de Identidade profissional. A vulnerabilidade, segundo uma denúncia publicada on-line, deixava diversos dados pessoais de advogados expostos ? incluindo informações como o número do título de eleitor e passaporte, em alguns casos.
A entidade garantiu que tomou providências "imediatamente" após tomar conhecimento do problema.
Mas, de acordo com a denúncia publicada no site "Open Bug Bounty" e atribuída a um pesquisador de segurança que usa o apelido de "Srst0rm", a OAB teria sido comunicado a respeito do problema em maio. O caso veio a público na semana passada, com a vulnerabilidade ainda aberta.
O blog questionou a OAB se a entidade foi realmente comunicada sobre o problema em maio, como consta no site do "Open Bug Bounty", mas a resposta não trouxe essa informação. Também não foi informado se a OAB detectou indícios de que as informações foram acessadas antes do problema ser sanado.
A entidade informou, porém, que está "discutindo um plano de aperfeiçoamento contínuo da segurança dos dados" e que comunicou as autoridades sobre ocorrido "para que sejam procedidas as investigações necessárias".
Ficha cadastral que ficava exposta no site da OAB:
Falha simples
Em bancos de dados, é muito comum que cada registro receba um identificador numérico em ordem crescente. Dessa maneira, o primeiro cadastro é o número 1, o segundo é o número 2 e assim por diante. Essa estrutura exige que sejam tomadas certas medidas para evitar o acesso a dados de outros cadastros apenas escolhendo um número de registro.
A brecha que existia no site da Ordem dos Advogados do Brasil é de um tipo bastante conhecido, em que basta alterar o número do registro no endereço da página por outro para obter informações dos demais cadastros, mesmo que o visitante não devesse ter permissão para visualizar esses dados.
A mesma vulnerabilidade já foi encontrada em sistemas de pagamento, expondo boletos, e também em um sistema da Estácio, que permitia obter documentos de qualquer estudante.
Nota da OAB
"O Conselho Federal da OAB foi notificado sobre o possível vazamento de dados de sua base, por meio de uma vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional. Imediatamente, adotou as providências por meio de sua Gerência de Tecnologia da Informação. As correções necessárias foram imediatamente implementadas e o problema, sanado.
A OAB está comunicando às autoridades o ocorrido, para que sejam procedidas as investigações necessárias.
O Conselho Federal informa ainda que está discutindo um plano de aperfeiçoamento contínuo da segurança dos dados do Cadastro Nacional dos Advogados, a ser implantado em conjunto com a seccionais."
Fonte: G1