O grupo de pesquisadores de segurança da Insanity Security Lab publicou nesta segunda-feira, 10, no Facebook, notificação sobre uma vulnerabilidade existente no site da OAB Nacional. A brecha permite a exibição dos dados de todo o cadastro nacional de advogados, o CNA, pela simples alteração dos parâmetros de uma URL de consulta. Em 2016, esse cadastro já contava com 1,02 milhão de registros.
Falando em nome do grupo, o especialista Mateus Veras disse que a falha foi descoberta três meses atrás, e informada à OAB em 8 de maio. Entretanto, ela continuou sem correção até domingo, 9, quando o grupo decidiu publicar sua existência na expectativa de que a OAB finalmente corrija o problema.
A falha é bem conhecida e registrada como “CVE-2019-19616: Insecure Direct Object Reference (IDOR) in Xtivia Web Time and Expense”. A reportagem de CISO Advisor entrou em contato com a assessoria de imprensa da OAB, que naquele momento não tinha conhecimento do problema.
O vice-presidente da Comissão Especial de Tecnologia da OAB, Marcos Cabello, fez um post a seguir informando que “o Conselho Federal da Ordem dos Advogados do Brasil, ao tomar conhecimento de noticia indicando vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional, adotou a imediata providência de sua inativação provisória”.
Veja isso
Vazamento do Hurb, ex-Hotel Urbano, expõe 20 milhões de dados de clientes
Uber Eeats: Vazamento de dados começa a ser exposto na dark web
Às 15h45 a assessoria de imprensa da OAB Nacional enviou este comunicado ao CISO Advisor:
O Conselho Federal da OAB foi notificado sobre o possível vazamento de dados de sua base, por meio de uma vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional. Imediatamente, adotou as providências por meio de sua Gerência de Tecnologia da Informação. As correções necessárias foram imediatamente implementadas e o problema, sanado.
A OAB está comunicando às autoridades o ocorrido, para que sejam procedidas as investigações necessárias.
O Conselho Federal informa ainda que está discutindo um plano de aperfeiçoamento contínuo da segurança dos dados do Cadastro Nacional dos Advogados, a ser implantado em conjunto com a seccionais.
O grupo, formado também por Deivid Abreu, Jonathan Baskov e Raphael Fiorin, já detectou e reportou falhas em organizações como TSE e Wizard, por exemplo. Este é o post feito pelo grupo no Facebook, com detalhes da vulnerabilidade:
Nós da Insanity Security Lab viemos através deste pronunciamento divulgar uma falha de vazamento de dados utilizando a técnica de IDOR, esta falha permite acesso a dados de cunho sensível sendo eles:
• Nome Completo
• Nome da mãe e pai
• Nome Profissional
• Data de nascimento
• RG (Número, Data de emissão, Órgão emissor)
• CPF
• Número do título eleitoral
• Cidade eleitoral
• Endereço Residencial (Logradouro, Complemento, Numero, Bairro, Cidade, CEP)
• Número de Telefone e Celular
Este LEAK tem o objetivo de mostrar como o sistema da OAB é vulnerável e utilizando técnicas simples, conseguimos dados sigilosos. E mesmo assim, a mesma não se prontificou em arrumar a falha ou dar algum esclarecimento, deixando a falha exposta.
Esperamos encarecidamente que a OAB corrija este erro, assim não expondo pessoas inocentes a riscos de uma organização que não corrige nem um simples erro.
Como funciona o IDOR: O IDOR se trata de uma vulnerabilidade que ocorre quando um sistema web utiliza uma forma insegura para referenciar objetos e dados a serem retornados ou modificados sem garantir que a pessoa que esteja solicitando tenha o devido nível de acesso para executar tal ação.
O IDOR está localizado na página: https://www1.oab.org.br/identidade/ImprimirDadosAdvogado.aspx?id=1000&idSecc=582092
Modificando a string id=1000 e você terá acesso a todos os dados de todos os advogados do BRASIL!
Uma falha relativamente fácil para ter acesso a tantas coisas em um sistema que deveria ter o mínimo segurança … E o melhor, esta falha foi reportada já a muito tempo! (8 May, 2020) E a OAB não resolveu…
Como é de costume, falhas reportadas e não resolvidas são expostas, para assim a empresa tomar providencias…
Mas duvido muito que a OAB irá resolver esta falha, só estão preocupados com dinheiro e não com seus advogados.
Ass. INSANITY SECURITY LAB
