Descobertas falhas em site de e-commerce da Módulo
22/01/2003
Há cerca de duas semanas, a Módulo Security Solutions, considerada a maior empresa de segurança da informação na América Latina, pôs no ar o site Security Shopping, por meio do qual disponibilizou a venda online de produtos e serviços de segurança — livros, cursos, certificados digitais, e outros. Mas, na última quinta-feira, 16, a empresa foi obrigada a retirá-lo do ar às pressas, para corrigir falhas de segurança descobertas no sistema.
O site saiu do ar depois que InfoGuerra enviou à empresa cópias de cadastros pessoais armazenados no servidor e que podiam ser acessados por meio de técnicas de ataques. As falhas, descobertas por um analista de segurança que prefere não ter seu nome divulgado, são conhecidas como “SQL Injection”, o mesmo tipo de problema que possibilitou a desfiguração do site do PT durante o segundo turno das eleições passadas.
Pode-se dizer que SQL Injection é o ataque do momento, pois é muito fácil de ser explorado e, por descuido na programação, está presente em muitos sites, mesmo no de grandes empresas. SQL (Structured Query Language) é a linguagem padrão de acesso a diferentes bancos de dados: Oracle, DB2, Sybase, Informix, Microsoft SQL Server, Access, e outros. O método de ataque consiste em injetar comandos SQL não previstos pelos programadores das páginas nos campos dos formulários dos bancos de dados.
Assim, no ponto em que o formulário deveria receber apenas o nome de um usuário e uma senha, por exemplo, um atacante pode incluir comandos — inesperados, porém válidos — para busca e exibição de outros dados dos usuários. As conseqüências podem ser as mais variadas, dependendo da estruturação e da finalidade dos sites atingidos: desde a leitura de informações privadas, até a alteração e eliminação de todas as informações guardadas no banco de dados do sistema. Quanto mais informações críticas houver armazenadas no servidor (como números de cartões de crédito, por exemplo), mais grave é a presença desta vulnerabilidade.
No caso do site da Módulo, os exemplos recebidos mostravam que era possível acessar dados pessoais — como nome, endereço, CPF e telefone — de usuários cadastrados, sem necessidade de senha. Porém, havia limitações. Uma delas é que era preciso saber o e-mail do usuário, portanto os testes foram feitos com e-mails de funcionários da empresa, já que era mais óbvio que alguns deles estivessem cadastrados.
“Foi falha humana”, justifica Álvaro Lima, sócio-diretor de marketing da Módulo e um dos tinham cadastro no site. Segundo Lima, as falhas de programação estavam presentes em “uma versão antiga do software de comércio eletrônico” instalada no site e liberada inadvertidamente. Ele lembra, porém, que não era possível acessar dados de cartões de crédito, já que o pagamento das compras era feito por boleto bancário enviado para o endereço presente no cadastro do cliente. Além disso, afirma, praticamente não havia clientes reais cadastrados, pois o lançamento oficial do site, criado pela empresa Mídia3, ainda não tinha sido feito.
Durante algum tempo depois que foi retirado do ar, o Security Shopping exibia a mensagem de “servidor não encontrado”. Atualmente, o endereço apresenta as mesmas páginas do portal da Módulo e, até hoje à tarde, exibia um pequeno anúncio lateral sobre o futuro lançamento do serviço. Ao se clicar no anúncio, abria-se uma janela pop-up com o título de “Página inacessível” e o aviso: “Em razão do lançamento do novo Portal, o Security Shopping ficará temporariamente inacessível. Aguardem as novidades”. Neste momento, até o anúncio desapareceu.
“Estamos refazendo todos os testes e procedimentos de segurança necessários, antes de liberar a versão atual”, afirma Álvaro Lima.
Infoguerra
Deixe uma resposta
Want to join the discussion?Feel free to contribute!