Falhas do Detran-RS exibiram veículos, proprietários e motoristas

As falhas foram divulgadas pelo UOL antes que a Procergs tivesse concluído a manutenção do site do DetranRS
Da Redação
29/01/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Duas falhas na administração de solicitações ao banco de dados do DetranRS, o Departamento Estadual de Trânsito do Rio Grande do Sul, permitiram a visualização de todos os dados de praticamente qualquer pessoa portadora de uma habilitação emitida no estado, assim como os dados de qualquer veículo licenciado lá e de seu proprietário. O Estado tem 5,1 milhões de motoristas e 7,14 milhões de veículos.

As falhas foram descobertas por Jonathan Fonseca, estudante de T.I. do Senac Tech RS e pesquisador de segurança, no dia 19 de janeiro. Jonathan fez um detalhado relatório sobre o assunto e o enviou ao Detran dois dias depois, por meio do formulário de contato existente no site do órgão e para endereços de e-mail publicados no site. Como não obteve resposta, no dia 26 enviou o relatório detalhado à Procergs, empresa estatal de processamento de dados responsável pela manutenção do site.

A empresa agradeceu, respondeu que faria a manutenção e pediu que Fonseca aguardasse contato do assessor de comunicação do DetranRS. Antes que a Procergs ou o Detran anunciassem o término da manutenção do site, um técnico chamado Mateus Gomes informou o problema à mídia. Neste momento, o site ainda está vulnerável informa Fonseca.

Dados disponíveis na falha do DetranRS

A falha, explicou o pesquisador, é um IDOR (Insecure Direct Object Reference) ou “Referência Direta Insegura a um Objeto”, um problema conhecido e bastante simples de resolver, mas que frequentemente passa despercebido dos desenvolvedores nas entregas a clientes. No entanto, é um problema que pode expor grande quantidade de dados a usuários não autorizados. “Essa vulnerabilidade acontece porque o parâmetro que recebe o valor da identidade do condutor faz parte da URL; ele acaba sendo um identificador para a consulta ao banco de dados da instituição, mas não valida corretamente a origem das requisições, ou seja, qualquer pessoa, até mesmo um usuário não-autenticado consegue acessar informações privadas, bastando para isso alterar esse identificador”, explica Fonseca.

“Pode ser que eles não estejam vendo como uma falha mas é sim, porque não tem nenhum tipo de segurança para limitar a pesquisa”, explicou o pesquisador ao CISO Advisor, acrescentando que é possível obter os dados inserindo um número de RG no link de pesquisa. Se o RG existir, o site responderá com uma página exibindo os dados.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest