Duas falhas na administração de solicitações ao banco de dados do DetranRS, o Departamento Estadual de Trânsito do Rio Grande do Sul, permitiram a visualização de todos os dados de praticamente qualquer pessoa portadora de uma habilitação emitida no estado, assim como os dados de qualquer veículo licenciado lá e de seu proprietário. O Estado tem 5,1 milhões de motoristas e 7,14 milhões de veículos.
As falhas foram descobertas por Jonathan Fonseca, estudante de T.I. do Senac Tech RS e pesquisador de segurança, no dia 19 de janeiro. Jonathan fez um detalhado relatório sobre o assunto e o enviou ao Detran dois dias depois, por meio do formulário de contato existente no site do órgão e para endereços de e-mail publicados no site. Como não obteve resposta, no dia 26 enviou o relatório detalhado à Procergs, empresa estatal de processamento de dados responsável pela manutenção do site.
A empresa agradeceu, respondeu que faria a manutenção e pediu que Fonseca aguardasse contato do assessor de comunicação do DetranRS. Antes que a Procergs ou o Detran anunciassem o término da manutenção do site, um técnico chamado Mateus Gomes informou o problema à mídia. Neste momento, o site ainda está vulnerável informa Fonseca.
A falha, explicou o pesquisador, é um IDOR (Insecure Direct Object Reference) ou “Referência Direta Insegura a um Objeto”, um problema conhecido e bastante simples de resolver, mas que frequentemente passa despercebido dos desenvolvedores nas entregas a clientes. No entanto, é um problema que pode expor grande quantidade de dados a usuários não autorizados. “Essa vulnerabilidade acontece porque o parâmetro que recebe o valor da identidade do condutor faz parte da URL; ele acaba sendo um identificador para a consulta ao banco de dados da instituição, mas não valida corretamente a origem das requisições, ou seja, qualquer pessoa, até mesmo um usuário não-autenticado consegue acessar informações privadas, bastando para isso alterar esse identificador”, explica Fonseca.
“Pode ser que eles não estejam vendo como uma falha mas é sim, porque não tem nenhum tipo de segurança para limitar a pesquisa”, explicou o pesquisador ao CISO Advisor, acrescentando que é possível obter os dados inserindo um número de RG no link de pesquisa. Se o RG existir, o site responderá com uma página exibindo os dados.
