Entenda a falha de segurança da OAB e o que os especialistas recomendam

Descoberta três meses atrás, sem correção pela OAB, a falha no site do Conselho Federal da Ordem dos Advogados do Brasil foi exposta pelo Insanity Security Lab que decidiu publicar no dia 10 de agosto no Facebook sua existência na expectativa de que a OAB corrigisse o problema. Foram expostos dados pessoais de advogados de todo o país. Entre as informações estão dados pessoais diretos como CPF, RG, título eleitoral e endereço residencial.

Bastante conhecida, a falha é registrada como “CVE-2019-19616: Insecure Direct Object Reference (IDOR) in Xtivia Web Time and Expense”. Até esta segunda, a OAB não tinha conhecimento do problema.

Os pesquisadores da Insanity Security Labs exploraram um IDOR (Insecure Direct Object Reference) em cima da interface Xtivia web ao qual possui uma CVE registrada CVE-2019-19616. “Essa vulnerabilidade permite que atacantes conseguisse coletar informações de maneira arbitrária modificando parâmetros dentro da função /Home/GetAttachment”.

Isso permite com que um atacante possa coletar relatórios de advogados e outras informações, mas para isso é necessário uma autenticação na aplicação para explorar a vulnerabilidade.

Entenda a falha

Segundo o Pesquisador responsável pela CVE, ele descreve no seu blog que a vulnerabilidade não possui correção: “Este problema foi relatado à Xtivia de acordo com as diretrizes de divulgação responsável. O Xtivia respondeu que nenhum patch será lançado, pois a interface WebTE usada para as versões do Microsoft Dynamics NAV anteriores a 2017 foram descontinuadas.”

 “Suponhamos que você acessou o site do seu banco, então você tem o site http://bank.com/account-info?info-number=1231 e perceba que no info-number tem um identificador, esse número é o mesmo da minha conta. Dessa forma, você nota que ele está usando diretamente o meu número como consulta de registros no banco de dados”, explica Joas Antonio dos Santos, consultor em cibersegurança.

Segundo ele, por falta de controles, basta eu mudar o número 1231 para um número aleatório, sendo assim http://bank.com/account-info?info-number=1333 ao mudar para 1333 eu obtenho informações de outro cliente e é possível até escalar privilégios horizontalmente, ou seja, se o seu usuário tem como ID o número 2 e o administrador tem como ID o número 1, se for vulnerável a IDOR basta modificar o número 2 para 1 e assim você obtém informações sensíveis.

O que fazer nesses casos?

Sabemos que atualmente as empresas cada vez mais estão adotando políticas de premiações sob o conceito de Bug Bountly. No entanto, há casos que não se aplica, como foi o ocorrido na OAB, uma vez que o pesquisador publicou a falha na mídia e consequentemente houve uma exposição de marca com o posicionamento da OAB:

O Conselho Federal da OAB foi notificado sobre o possível vazamento de dados de sua base, por meio de uma vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional. Imediatamente, adotou as providências por meio de sua Gerência de Tecnologia da Informação. As correções necessárias foram imediatamente implementadas e o problema, sanado. A OAB está comunicando às autoridades o ocorrido, para que sejam procedidas as investigações necessárias. O Conselho Federal informa ainda que está discutindo um plano de aperfeiçoamento contínuo da segurança dos dados do Cadastro Nacional dos Advogados, a ser implantado em conjunto com a seccionais. 

No entanto, uma vez que a falha foi apontada anteriormente e com a LGPD prestes a entrar em vigor, qual seria o papel do DPO? O SocialSec conversou com Alex Amorim, CISO e DPO, para entender quais seriam as recomendações nesse tipo de situação.

“Quando se trata de uma pessoa bem intencionada, entrando em contato com a empresa, o primeiro passo é entrar em contato com o pesquisador para entender qual o nível da criticidade e as intenções de quem apontou a falha”, comenta. Para ele, o tema deve ser tratado em conjunto com a área de segurança da informação, envolvendo as áreas de negócios e o DPO.

“Hoje, há campanhas de bug bountly e isso é justamente para abrir um canal de comunicação – normalmente é o csirt@nomedaempresa – entre a organização e o pesquisador dando algum tipo de recompensa”. Amorim recomenda que as companhias tenham um canal oficial para receber esses tipos de demandas que podem começar a acontecer, não somente dar toda a atenção.

Segundo Raul Cândido, Consultor Forense, Líder Womcy He for She, autor na Academia de Forense Digital e redator chefe do portal Hacker Culture, os dados expostos no site da OAB podem estar conectados a casos específicos dos advogados e podem ser correlacionados com outros dados expostos. Correlacionando nome do indivíduo com data, número de caso, é possível chegar a informações mais sigilosas e esse é o risco. “A partir do momento que tem o nome de um determinado advogado e seu email de trabalho é possível enviar uma mensagem para o profissional e se há acesso a outros dados pode ser usado para dar mais credibilidade de um ataque de phishing. Normalmente, quando há uma falha exposta está associado a um vazamento de dados, mas não foi o caso da OAB”.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *