2016/01/05

Sites TVI24 e Record com vulnerabilidades graves na web


É difícil acreditar, mas as falhas de segurança em sites são bem mais comuns do que se pensa, e muitas delas estão aqui bem perto de nós. O João Pina não se considera um especialista em segurança, mas em poucos minutos descobriu falhas graves nos sites da TVI24 e do Record.pt.

Como ficariam se um amigo vos enviasse um link para o site da TVI24 onde constasse a notícia de que Portugal ia passar a cobrar uma taxa de pirataria sobre todo e cada MB descarregado da Internet? Graças a uma vulnerabilidade nesse site, essa era apenas uma das coisas possíveis de se fazer. Quanto ao site do Record.pt, outro tipo de falha facilitava a manipulação fraudulenta de votações.

O mais preocupante é que estas vulnerabilidades foram descobertas com enorme facilidade e podem ser consideradas das falhas mais básicas e que nenhum developer deveria fazer hoje em dia (no caso do site da TVI24, inserido no iol.pt, ainda menos se poderá desculpar uma falha de HTML Injection).

A este relato na nossa mailing list não demoraram a surgir outros, referindo outras falhas e vulnerabilidades noutros sites; algumas das quais podem até por em risco os dados dos seus clientes e utilizadores (como sites cuja base de dados está exposta na internet)... o que é bastante preocupante.


Neste caso, o João Pina teve o cuidado de contactar ambas as entidades e as vulnerabilidades já foram corrigidas (embora nem tenha recebido em troca uma simples palavra de agradecimento), mas não me parece que seja necessário apostar que sites que tenham tais vulnerabilidades básicas se fiquem apenas por aqui a nível de falhas... e da próxima vez, quem as descobrir poderá ser alguém com outras intenções que lhes venha a causar verdadeiras dores de cabeça.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]