Mercado fechado

Brecha de segurança permitia acesso a informações da SSP de Goiás

Felipe Demartini

Uma grave brecha de segurança permitia acessar os dados de mandados judiciais, investigações e processos em andamento da Secretaria de Segurança Pública do Estado de Goiás. Por meio da vulnerabilidade, era possível acessar informações confidenciais sem qualquer tipo de verificação de credenciais, colocando em risco dados pessoais dos envolvidos e também detalhes sobre o andamento de investigações e procedimentos legais.

A falha foi relatada ao Canaltech pelo técnico em redes Mateus Gomes e aparecia no MPortal, um sistema online que permite acesso, por oficiais e autoridades, aos dados da Secretaria de Segurança Pública. O problema é que, antes de carregar a página que exigia a inserção de credenciais de acesso, a plataforma em si era carregada de forma direta, o que permitia sua utilização por pessoas não-autorizadas.

A brecha podia ser explorada a partir de qualquer navegador e sem a necessidade de softwares especializados, bastando apenas que o usuário interrompesse o carregamento da página antes da exibição dos campos de login. “Esse tipo de fraqueza ocorre quando o site não possui um controle de acesso adequado para definir o acesso a dados que deveriam ser sigilosos”, explica o técnico.

Páginas de pesquisa por informações de processo eram carregadas antes da verificação por credenciais, expondo dados sigilosos e protegidos (Imagem: Reprodução/Felipe Demartini)

Segundo ele, existe a necessidade de verificação de autenticação a cada ação, para que apenas pessoas autorizadas possam utilizar o sistema, o que não acontecia no caso do site da SSP/GO. Dessa forma, informações confidenciais como mandados de prisão, procedimentos de investigação e processos poderiam vir a público. “[Tudo isso] poderia ser compartilhado ou vendido para pessoas envolvidas, comprometendo todo o trabalho [dos oficiais]”, completa.

Emilio Simoni, diretor sênior do dfndr Lab, laboratório de segurança digital da PSafe, ressalta os riscos aos próprios usuários, uma vez que informações pessoais e sensíveis também constam nos processos. “É bastante comum que cibercriminosos procurem explorar pontos vulneráveis de segurança para roubar conteúdo sigiloso ou bases de dados disponíveis sem senhas de proteção”, explica.

Simoni ressalta também o perigo de ataques de engenharia social, um ponto também levantado por Gomes. Enquanto o pesquisador da PSafe indica que as informações vazadas poderiam ser utilizadas para golpes contra aqueles que aparecem citados nos dados vazados, o técnico indica que tentativas desse tipo poderiam ser realizadas também contra os próprios investigadores e policiais, com hackers buscando obter credenciais de acesso a outros sistemas da Secretaria de Segurança Pública do Estado de Goiás.

Isso se deve, segundo ele, ao fato de a interface de pesquisa e inserção de logins ser carregada diretamente na máquina do usuário, que teria acesso ao código-fonte completo da aplicação. Em demonstração feita ao Canaltech, Gomes exibiu um conceito de página manipulada para roubo de credenciais, utilizando a aparência do sistema oficial, mas armazenando as informações confidenciais exibidas pelo utilizador.

Em demonstração, especialista mostrou como a exposição do código-fonte completo poderia ser usada para ataques de engenharia social (Imagem: Reprodução/Felipe Demartini)

“Um atacante também poderia utilizar de força-bruta para localizar outros diretórios que sofram do mesmo problema de controle inadequado de acesso, aumentando a exposição dos dados”, completou o técnico. Como forma de proteger o sigilo das informações disponíveis no MPortal e o segredo de processos e outros procedimentos judiciais em andamento, nem Gomes nem o Canaltech realizaram qualquer pesquisa no sistema.

A Secretaria de Segurança Pública do Estado de Goiás foi notificada, por telefone e por e-mail, em 13 de janeiro. O órgão não respondeu à reportagem na ocasião, mas dois dias depois, na última quarta-feira (15), solucionou a brecha, não mais permitindo o carregamento do sistema antes da inserção das credenciais. Agora, o formulário com login e senha é exibido rapidamente, com o acesso somente sendo possível após essa verificação.

Após notificação do Canaltech, brecha foi solucionada e portal da SSP/GO passou a exigir login e senha para acesso ao sistema de pesquisa (Imagem: Reprodução/Felipe Demartini)

Em nota oficial, entretanto, a SSP/GO negou a existência de uma brecha que permitiria a visualização dos dados do MPortal. À reportagem do Canaltech, o órgão afirmou que o acesso sem as devidas credenciais é impossível e que apenas a interface da plataforma é exibida para os usuários, “como ocorre com qualquer site ou aplicativo moderno, como instituições financeiras, por exemplo”.

Medidas de proteção

Como não foi possível verificar se algum tipo de acesso não-autorizado aos dados do portal foi realizado, Simoni alerta para os perigos envolvendo extorsão e engenharia social também no caso dos usuários finais, possivelmente citados em investigações. “É comum que criminosos utilizem esses dados expostos para aplicar golpes personalizados ou tente fazer chantagens em troca de dinheiro”, completa.

Gomes alerta, ainda, para outra vulnerabilidade ainda disponível no MPortal e que pode ser explorada por atacantes. A versão do servidor utilizado pela SSP/GO pode ser visualizada por qualquer usuário que saiba o que fazer e, com isso, abre a possibilidade para novas explorações por meio de brechas conhecidas no sistema, principalmente caso atualizações de segurança ainda não tenham sido aplicadas.

“[O ideal seria] sempre atualizar o software e evitar a exposição de arquivos para pessoas não autenticadas, principalmente”, completa o técnico. A Secretaria de Segurança Pública do Estado de Goiás, entretanto, não se pronunciou sobre esse assunto específico.


Fonte: Canaltech

Trending no Canaltech:

  • Novo iOS 13.4 beta 2 traz novidades para apps de TV, e-mail e CarKey
    Finanças
    Canaltech

    Novo iOS 13.4 beta 2 traz novidades para apps de TV, e-mail e CarKey

    A Apple liberou uma nova versão de testes do iOS e iPadOS 13.4 (além de novos betas do tvOS, watchOS e macOS). Entre as principais mudanças estão uma reorganização da barra de ferramentas do app de E-mail e novas opções nos apps de TV e CarKey

  • Finanças
    Valor Econômico

    Coronavírus: governo monitora navios que estão na costa brasileira

    Ministério da Saúde elevou nível de vigilância para mais 7 países da Ásia além da China: Japão, Coreia do Sul, Coreia do Norte, Cingapura, Vietnã, Tailândia e Camboja O governo brasileiro tem monitorado os navios que circulam na costa brasileira para evitar a entrada do coronavírus no país. O Ministério

  • Finanças
    Valor Econômico

    Medidas envolvendo risco em barragem de Itatiaiuçu são ampliadas

    Acordo foi firmado entre Ministério Público Federal e o Ministério Público de Minas Gerais com a mineradora ArcelorMittal O Ministério Público Federal (MPF) e o Ministério Público de Minas Gerais (MPMG) anunciaram nesta sexta (21) que firmaram acordo com a mineradora ArcelorMittal para prorrogar o Termo

  • Finanças
    Folhapress

    Menos poluente, petróleo do pré-sal chega a ser vendido mais caro que Brent

    RIO DE JANEIRO, RJ (FOLHAPRESS) - Novas regras para reduzir as emissões de enxofre no transporte marítimo vêm impulsionando o valor do petróleo brasileiro no mercado internacional, que já é vendido praticamente sem desconto em relação ao Brent, referência mundial. A valorização do petróleo do pré-sal

  • Yakima lança caixa de teto para carros que contém carregador solar integrado
    Finanças
    Canaltech

    Yakima lança caixa de teto para carros que contém carregador solar integrado

    Com a CBX Solar é possível carregar dispositivos móveis mesmo longe de qualquer fonte de energia elétrica em seu carro. Isso acontece porque a caixa contém um painel de energia solar de 36W capaz de fazer cargas de 5 volts (3A)

  • Finanças
    Valor Econômico

    Em meio a motim de militares, Moro vai ao Ceará na segunda

    Ministro da Justiça estará acompanhado do colega da Defesa, Fernando Azevedo Os ministros Sergio Moro (Justiça) e Fernando Azevedo (Defesa) vão ao Ceará na próxima segunda-feira (24), durante o carnaval. Desde o início do motim de policiais militares, 51 pessoas foram assassinadas no Estado. No primeiro

  • Hot Wheels anuncia dois modelos do Tesla Cybertruck, com janela quebrada e tudo
    Finanças
    Canaltech

    Hot Wheels anuncia dois modelos do Tesla Cybertruck, com janela quebrada e tudo

    A Mattel deve disponibilizar, até o final do ano, duas réplicas do Tesla Cybertruck, alardeado lançamento "futurista" da fabricante de veículos elétricos, que foi anunciado recentemente. O modelo premium do brinquedo custa o equivalente a R$ 1.755

  • Stranger Things | Erica deve retornar na quarta temporada como personagem fixo
    Finanças
    Canaltech

    Stranger Things | Erica deve retornar na quarta temporada como personagem fixo

    De acordo com informações exclusivas obtidas pela Variety, a personagem Erica Sinclair, interpretada por Priah Ferguson, deve voltar à série Stranger Things na quarta temporada como personagem recorrente. A garota conquistou os fãs pela sua personalidade marcante

  • Finanças
    Valor Econômico

    Doria afirma que paga bem a professores de SP que trabalham

    "São Paulo não remunera professores para ficarem em casa tomando suco de laranja e sendo preguiçosos", declarou o governador Doria anunciou o pagamento de um abono de até 12,84% do salário Marcello Fim/Zimel Press/Agência O Globo O governador de São Paulo, João Doria (PSDB), afirmou nesta quinta-feira

  • Notícias
    Folhapress

    Fuja dos principais golpes com o cartão de crédito no Carnaval

    SÃO PAULO, SP (FOLHAPRESS) - A animação dos foliões e a aglomeração nas ruas facilitam a vida dos bandidos no Carnaval. Entre os golpes mais comuns aplicados nesta época está a troca de cartões de crédito, segundo a Febraban (Federação Brasileira dos Bancos).  O golpista se passa por um vendedor ambulante

  • Imagens impressionantes mostram rápido derretimento de gelo na Antártida
    Finanças
    Canaltech

    Imagens impressionantes mostram rápido derretimento de gelo na Antártida

    Recentemente, a Antártida enfrentou seu clima mais quente da história, registrando 18,3 °C, o que provocou o rápido derretimento de uma grande área de gelo, entre os dias 5 e 13 de fevereiro. A redução na quantidade de neve é visível em fotografias surpreendentes

  • Xiaomi pode lançar cartão SIM que também serviria como microSD
    Finanças
    Canaltech

    Xiaomi pode lançar cartão SIM que também serviria como microSD

    Patente encontrada pelo site oriental IT Home mostra que a tecnologia da Xiaomi prevê um chip “2 em 1”, com o SIM em um canto e o microSD em outro. Para que isso funcione, a companhia vem desenvolvendo um novo tipo de bandeja, capaz de ler o cartão em ambos os lados

  • SpaceX busca US$ 250 milhões para financiar seus três grandes projetos de 2020
    Finanças
    Canaltech

    SpaceX busca US$ 250 milhões para financiar seus três grandes projetos de 2020

    A empresa pretende arrecadar um quarto de bilhão de dólares, segundo fontes ligadas ao financiamento. A captação constante de recursos ocorre enquanto a SpaceX segue no desenvolvimento de três programas importantes: Crew Dragon, Starlink e Starship

  • EUA liberam licença para importação de carne brasileira
    Finanças
    Suno Notícias

    EUA liberam licença para importação de carne brasileira

    O Ministério do Agricultura informou nesta sexta-feira (21)que os Estados Unidos liberaram a importação de carne bovina in natura do Brasil. Segundo o governo americano, o Brasil cumpriu os requisitos e corrigiu os problemas que tinham levado à suspensão no ano de 2017. A informação foi passada pelo

  • Google é processado por uso indevido de dados privados de estudantes
    Finanças
    Canaltech

    Google é processado por uso indevido de dados privados de estudantes

    Tudo gira em torno de uma plataforma chamada Google Education. A empresa fez promessas públicas de não extrair dados de alunos para fins comerciais, promessas estas que, de acordo com as acusações, não foram cumpridas

  • OPINIÃO | Grow nos lembra por que devemos desconfiar do capitalismo sustentável
    Finanças
    Canaltech

    OPINIÃO | Grow nos lembra por que devemos desconfiar do capitalismo sustentável

    Discursos de preservação do meio-ambiente e de desenvolvimento sustentável são comuns nas empresas atuais, mas não faltam exemplos de empresas que jogam todos esses valores no lixo quando não conseguem o lucro esperado

  • Finanças
    Valor Econômico

    Lucro do Banco Mercantil mais que dobrou em 2019

    O Banco Mercantil do Brasil registrou lucro líquido de R$ 121,4 milhões em 2019, uma alta de 127,3% na comparação com o ano anterior. O resultado bruto da intermediação financeira aumentou 14,4%, a R$ 1,392 bilhão. A carteira de crédito do Mercantil atingiu R$ 4,870 bilhões, com queda de 13,8% na comparação

  • Grupos secretos do WhatsApp são facilmente encontrados na busca do Google
    Finanças
    Canaltech

    Grupos secretos do WhatsApp são facilmente encontrados na busca do Google

    Links para grupos do WhatsApp que deveriam ser secretos podem ser encontrados em busca do Google; problema, segundo desenvolvedora, é que a ferramenta não inclui a tag 'noindex' para evitar indexação no buscador

  • Coronavírus: mundo precisa agir rápido, diz diretor da OMS
    Finanças
    Suno Notícias

    Coronavírus: mundo precisa agir rápido, diz diretor da OMS

    A Organização Mundial da Saúde (OMS) alertou nesta sexta-feira (21) que países precisam agir rápido para conter coronavírus. Para a instituição, a janela de oportunidade está se fechando. Em entrevista coletiva na Genebra, Suíça, o diretor-geral da OMS, Tedros Adhanom Ghebreyesus, afirmou que ainda acredita

  • Coronavírus: 57% do setor de eletrônicos é afetado, diz Abinee
    Finanças
    Suno Notícias

    Coronavírus: 57% do setor de eletrônicos é afetado, diz Abinee

    Um levantamento da Associação Brasileira de Indústria Elétrica e Eletrônica (Abinee), divulgado nesta sexta-feira (21), aponta como a epidemia de coronavírus (covid-19) criará problemas para 57% das empresas do setor. Segundo a pesquisa, os efeitos do coronavírus sobre os produtores chineses provocarão

  • Finanças
    Valor Econômico

    Azul assina acordo para adquirir TwoFlex por R$ 123 milhões

    O fechamento do negócio está condicionado a aprovação da operação pelo Cade A Azul informou que assinou hoje o acordo para a compra da TwoFlex por R$ 123 milhões. O fechamento do negócio está condicionado a aprovação da operação pelo Conselho Administrativo de Defesa Econômica (Cade). A Azul anunciou

  • Finanças
    Estadão Conteúdo

    Petrobras inicia fase não vinculante para venda da UFN-III

    A Petrobras informou em comunicado, nesta sexta-feira, 21, o início da fase não vinculante referente à venda de 100% de sua Unidade de Fertilizantes Nitrogenados III ( UFN-III ) em Três Lagoas, Mato Grosso do Sul. Em comunicado enviado à Comissão de Valores Mobiliários (CVM), os potenciais compradores

  • Acordo no TST encerra definitivamente greve dos petroleiros
    Finanças
    Folhapress

    Acordo no TST encerra definitivamente greve dos petroleiros

    RIO DE JANEIRO, RJ (FOLHAPRESS) - Petrobras e petroleiros chegaram a um acordo em reunião mediada pelo TST (Tribunal Superior do Trabalho), e a greve da categoria, que durou 20 dias, será encerrada definitivamente. O movimento custou à Petrobras cerca de R$ 50 milhões. O acordo mantém as demissões na

  • "Aquele em que todos se reuniram" deve ser o nome do retorno de Friends à TV
    Finanças
    Canaltech

    "Aquele em que todos se reuniram" deve ser o nome do retorno de Friends à TV

    HBO Max vai ser a plataforma de serviços streaming da Warner. Os seis amigos voltam para protagonizar um especial sob o nome improvisado de "Aquele em que todos se reuniram". Tanto o especial quanto os episódios antigos da série estarão na plataforma em sua estreia

  • Finanças
    Estadão Conteúdo

    Caixa Seguridade, Cury e Ambipar protocolam ofertas de ações na CVM

    Nesta sexta-feira, 21, três empresas protocolaram na Comissão de Valores Mobiliários (CVM) seus prospectos preliminares para realização de oferta pública de ações. Destaque para a Caixa Seguridade, cujo movimento foi antecipado pelo Broadcast, sistema de notícias em tempo real do Grupo Estado, ontem,