OAB corrige falha que deixou dados de advogados expostos na web
* Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se achar algo que viole os termos de uso, denuncie o comentário correspondente à nossa equipe.
Portal de Notícias Administrável desenvolvido por Hotfix

Tecnologia

OAB corrige falha que deixou dados de advogados expostos na web

Entidade informou que está discutindo um 'plano de aperfeiçoamento contínuo da segurança' e que comunicou autoridades.

Conselho Federal da OAB

Rede Globo

A Ordem dos Advogados do Brasil (OAB) informou que corrigiu uma falha encontrada no módulo de pré-cadastro do Sistema de Identidade profissional. A vulnerabilidade, segundo uma denúncia publicada on-line, deixava diversos dados pessoais de advogados expostos – incluindo informações como o número do título de eleitor e passaporte, em alguns casos.

A entidade garantiu que tomou providências "imediatamente" após tomar conhecimento do problema.

Mas, de acordo com a denúncia publicada no site "Open Bug Bounty" e atribuída a um pesquisador de segurança que usa o apelido de "Srst0rm", a OAB teria sido comunicado a respeito do problema em maio. O caso veio a público na semana passada, com a vulnerabilidade ainda aberta.

O blog questionou a OAB se a entidade foi realmente comunicada sobre o problema em maio, como consta no site do "Open Bug Bounty", mas a resposta não trouxe essa informação. Também não foi informado se a OAB detectou indícios de que as informações foram acessadas antes do problema ser sanado.

A entidade informou, porém, que está "discutindo um plano de aperfeiçoamento contínuo da segurança dos dados" e que comunicou as autoridades sobre ocorrido "para que sejam procedidas as investigações necessárias".

Ficha cadastral que ficava exposta no site da OAB.

Reprodução

Falha simples

Em bancos de dados, é muito comum que cada registro receba um identificador numérico em ordem crescente. Dessa maneira, o primeiro cadastro é o número 1, o segundo é o número 2 e assim por diante. Essa estrutura exige que sejam tomadas certas medidas para evitar o acesso a dados de outros cadastros apenas escolhendo um número de registro.

A brecha que existia no site da Ordem dos Advogados do Brasil é de um tipo bastante conhecido, em que basta alterar o número do registro no endereço da página por outro para obter informações dos demais cadastros, mesmo que o visitante não devesse ter permissão para visualizar esses dados.

A mesma vulnerabilidade já foi encontrada em sistemas de pagamento, expondo boletos, e também em um sistema da Estácio, que permitia obter documentos de qualquer estudante.

Nota da OAB

"O Conselho Federal da OAB foi notificado sobre o possível vazamento de dados de sua base, por meio de uma vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional. Imediatamente, adotou as providências por meio de sua Gerência de Tecnologia da Informação. As correções necessárias foram imediatamente implementadas e o problema, sanado.

A OAB está comunicando às autoridades o ocorrido, para que sejam procedidas as investigações necessárias.

O Conselho Federal informa ainda que está discutindo um plano de aperfeiçoamento contínuo da segurança dos dados do Cadastro Nacional dos Advogados, a ser implantado em conjunto com a seccionais."

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

G1

Assine o Portal!

Receba as principais notícias em primeira mão assim que elas forem postadas!

Assinar Grátis!

Leia Também

Assine o Portal!

Receba as principais notícias em primeira mão assim que elas forem postadas!

Assinar Grátis!