tools-625620_1280.jpg

“Hackers do Bem” corrige falha grave de credenciais

O estudante de cibersegurança George Luiz de Freitas Souza, aluno do programa Hackers do Bem, descobriu e informou aos gestores do programa duas falhas graves, que poderiam comprometer a confiabilidade e a segurança do sistema que atende os alunos. Num relatório que foi enviado à RNP e ao programa, Souza descreveu uma falha que permitia a exposição de dados do programa e uma que permitia alteração não autorizada de credenciais. Residente na cidade de Tauá, Ceará, explicou ter seguido “os princípios da divulgação responsável, não realizando testes invasivos ou que comprometessem os sistemas do programa Hackers do Bem”. Após corrigir as falhas, a RNP autorizou Souza a divulgar o relatório, que foi compartilhado com a redação do CISO Advisor.

Leia também
Hackers do bem e do mal guerreiam pela Rússia e Ucrânia
Programa Hackers do Bem planeja formar 30 mil profissionais

Descrevendo a primeira falha, Souza explica ter descoberto que “o ranking de competição entre os alunos, que não deveria ser público, poderia ser acessado por falha do próprio código do site do programa Hackers do Bem”. Já a segunda “permitia que um invasor alterasse o CPF e o e-mail vinculado às contas dos alunos. Essa brecha poderia possibilitar acesso às contas dos usuários, com potencial para ações como exclusão e troca de perfis, manipulação de posições no ranking, bem como emissão de certificados de conclusão das fases do curso de forma fraudulenta”.

Ao CISO Advisor, Souza declarou que primeira falha seria grave, “isso porque o programa hackers do bem garantia a privacidade do ranking e dados dos competidores. Principalmente, quando a irregular divulgação poderia comprometer a classificação e competição, bem como se pode ver o real número total de inscritos e se realmente os inscritos são legítimos. Os números de ID (irregularmente divulgados) do ranking e usuários também poderiam ser usados junto da segunda falha)”.

Já a segunda falha é crítica, segundo ele, “pois se pode trocar o perfil dos dados dos usuários (CPF e e-mail vinculados as contas), bem como invadir outras contas e também emitir certificados do curso para terceiros não autorizados. Manipulando, assim, o ranking e o próprio objetivo do programa Hackers do bem”.

Souza fez as duas descobertas analisando o código do portal dos alunos. Segundo ele, através da exploração de diretórios (Forced Browsing/Directory Traversal) era possível visualizar o ranking completo, incluindo outros dados de participantes. A falha mais grave, que permitia a alteração de credenciais por meio de alterações em campos do formulário do site e manipulação de URLs. Segundo o especialista, “um invasor poderia modificar credenciais críticas. Essa vulnerabilidade foi explorada em POC (Prova de Conceito), demonstrando cenários onde, inicialmente, se poderiam fazer outros ataques”.

Como consequência, afirma Souza no relatório, alterações dos dados de usuários poderiam permitir, entre outras consequências, a geração de certificados do curso em nome de terceiros.