Pesquisador descobre falha expondo a Sky

Paulo Brito
31/10/2019

Empresa foi notificada e já fez correções; falha na API permitia acesso a cadastro de mais de 4 milhões de clientes, diz pesquisador

Tela de resposta da API, com os dados de um cliente

Um hacker ético descobriu uma falha relevante na API (application program interface) da operadora de TV por assinatura SKY, que permitia acessar o cadastro de todos os clientes (perto de Mais de 4 milhões) simplesmente com o uso do CPF. As informações exibidas pela API indicavam, ainda, ser possível modificar a senha do usuário. A informação foi recebida pela redação do CISO Advisor na segunda-feira, junto com uma tela de comprovação do acesso. A redação encaminhou as informações à SKY por meio da sua assessoria de imprensa – incluindo os dados necessários para que a SKY corrigisse o problema. Segundo o pesquisador, no dia 30, ontem, o problema de vulnerabilidade e exposição no login e no reset de senhas havia sido corrigido, mas continuava sendo possível fazer alteração de dados e consulta por CPFs.

Segundo o pesquisador, a exposição desses dados coloca em risco os clientes, porque são exibidos nome, endereço, telefone, data de nascimento e outros, e também prejudica a empresa porque os dados podiam ser alterados.

No relatório enviado pelo especialista não foram reveladas nem as ferramentas nem as técnicas de acesso, “porque isso poderia acarretar danos morais, legais e financeiros para clientes e para a empresa”.

Segurança de APIs

Ao comentar o problema de segurança de APIs em geral, o gerente de produtos de cibersegurança da ISH Tecnologia, Dirceu Lippi Neto, observa que a publicação de uma API, assim como de qualquer outro tipo de serviço disponibilizado na internet, deve seguir um processo rigoroso de desenvolvimento, validação de postura de segurança e de gestão de mudanças, envolvendo todos os departamentos de tecnologia. “Isto porque um problema na API deve ser compartilhado com todos os envolvidos no processo de gestão corporativa de tecnologia e de segurança da informação. Em outras palavras, este tipo de problema está muito mais vinculado aos processos (ou a falta deles) do que especificamente à tecnologia ou falta de atenção”.

Lippi Neto explica que erros de desenvolvimento são mais evidentes em empresas sem um processo bem estruturado de desenvolvimento seguro. “Neste cenário, as principais formas de proteção de APIs, como criptografia TLS, Token e limites de uso não são estipuladas no código, o que permite o acesso indevido a elas, bem como às informações”. Uma forma de segurança que costuma minimizar os riscos, segundo ele, é um gateway de APIs, que consolida e centraliza todas as comunicações entre o mundo externo e as APIs internas da empresa, possibilitando a configuração de autenticação, por exemplo, na camada do gateway e não necessariamente na API e no seu desenvolvimento.

O processo de desenvolvimento, acrescenta o especialista, deve seguir um roteiro de produção que se inicia no desenho do produto (especificações) e segue no desenvolvimento do código, utilizando as melhores práticas, de acordo com o tipo de metodologia e/ou linguagem adotada, até o final do ciclo, com a validação de segurança – tanto no código quanto na aplicação. O processo envolve minimamente: infraestrutura, desenvolvimento e segurança da informação, com três camadas de validação antes mesmo da publicação, finaliza.

Compartilhar: