2020/04/07

SEUR revela passwords no URL


O serviço de tracking da SEUR contraria as mais básicas regras de segurança, expondo o nome de utilizador e respectiva password no URL.

Em pleno ano de 2020, após todos os casos de roubos de dados, phishing, hacking, e tudo o mais - que fariam supor que qualquer empresa com presença online tivesse um mínimo de preocupação com a segurança digital - descobre-se que o serviço de tracking da SEUR expõe a password dos clientes nos URLs.

O link para o tracking da SEUR apresenta algo como: http://www.seur.es/seurjtfavald.jsp?username=NOME&password=PASS onde o nome e password são visíveis e ficam imediatamente expostos. Adicionalmente, nem sequer utiliza uma ligação segura, pelo que esses dados ficam também expostos ao longo de todo o caminho que percorrerem, começando logo pela rede local do utilizador que se arriscar a clicar nesse link.

Passar parâmetros no URL é algo relativamente comum, mas há algumas regras mínimas de segurança que devem ser seguidas, começando por coisas como a utilização de HTTPS, e pela utilização de tokens únicos ou com validade limitada em vez de expor directamente dados como passwords. É surpreendente ver que, em 2020, ainda há empresas de grandes dimensões que parecem não o saber.


P.S. Mesmo que neste caso a culpa pudesse também ser atribuída à empresa cliente que usa os serviços da SEUR, o próprio site da SEUR nem sequer deveria permitir o acesso com envio destes dados através do URL, precisamente para se precaver contra este cenário.

3 comentários: