Descobertas falhas em site de e-commerce da Módulo


22/01/2003

Há cerca de duas semanas, a Módulo Security Solutions, considerada a maior empresa de segurança da informação na América Latina, pôs no ar o site Security Shopping, por meio do qual disponibilizou a venda online de produtos e serviços de segurança — livros, cursos, certificados digitais, e outros. Mas, na última quinta-feira, 16, a empresa foi obrigada a retirá-lo do ar às pressas, para corrigir falhas de segurança descobertas no sistema.

O site saiu do ar depois que InfoGuerra enviou à empresa cópias de cadastros pessoais armazenados no servidor e que podiam ser acessados por meio de técnicas de ataques. As falhas, descobertas por um analista de segurança que prefere não ter seu nome divulgado, são conhecidas como “SQL Injection”, o mesmo tipo de problema que possibilitou a desfiguração do site do PT durante o segundo turno das eleições passadas.

Pode-se dizer que SQL Injection é o ataque do momento, pois é muito fácil de ser explorado e, por descuido na programação, está presente em muitos sites, mesmo no de grandes empresas. SQL (Structured Query Language) é a linguagem padrão de acesso a diferentes bancos de dados: Oracle, DB2, Sybase, Informix, Microsoft SQL Server, Access, e outros. O método de ataque consiste em injetar comandos SQL não previstos pelos programadores das páginas nos campos dos formulários dos bancos de dados.

Assim, no ponto em que o formulário deveria receber apenas o nome de um usuário e uma senha, por exemplo, um atacante pode incluir comandos — inesperados, porém válidos — para busca e exibição de outros dados dos usuários. As conseqüências podem ser as mais variadas, dependendo da estruturação e da finalidade dos sites atingidos: desde a leitura de informações privadas, até a alteração e eliminação de todas as informações guardadas no banco de dados do sistema. Quanto mais informações críticas houver armazenadas no servidor (como números de cartões de crédito, por exemplo), mais grave é a presença desta vulnerabilidade.

No caso do site da Módulo, os exemplos recebidos mostravam que era possível acessar dados pessoais — como nome, endereço, CPF e telefone — de usuários cadastrados, sem necessidade de senha. Porém, havia limitações. Uma delas é que era preciso saber o e-mail do usuário, portanto os testes foram feitos com e-mails de funcionários da empresa, já que era mais óbvio que alguns deles estivessem cadastrados.

“Foi falha humana”, justifica Álvaro Lima, sócio-diretor de marketing da Módulo e um dos tinham cadastro no site. Segundo Lima, as falhas de programação estavam presentes em “uma versão antiga do software de comércio eletrônico” instalada no site e liberada inadvertidamente. Ele lembra, porém, que não era possível acessar dados de cartões de crédito, já que o pagamento das compras era feito por boleto bancário enviado para o endereço presente no cadastro do cliente. Além disso, afirma, praticamente não havia clientes reais cadastrados, pois o lançamento oficial do site, criado pela empresa Mídia3, ainda não tinha sido feito.

Durante algum tempo depois que foi retirado do ar, o Security Shopping exibia a mensagem de “servidor não encontrado”. Atualmente, o endereço apresenta as mesmas páginas do portal da Módulo e, até hoje à tarde, exibia um pequeno anúncio lateral sobre o futuro lançamento do serviço. Ao se clicar no anúncio, abria-se uma janela pop-up com o título de “Página inacessível” e o aviso: “Em razão do lançamento do novo Portal, o Security Shopping ficará temporariamente inacessível. Aguardem as novidades”. Neste momento, até o anúncio desapareceu.

“Estamos refazendo todos os testes e procedimentos de segurança necessários, antes de liberar a versão atual”, afirma Álvaro Lima.

Infoguerra

Please rate this

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.