Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m

Plataforma ComprasNet expõe dados de empresários

Problema está no ComprasNet, a plataforma de compras do Governo Federal, alerta empresário de segurança de infraestrutura crítica
Da Redação
20/06/2022

A estrutura do ‘Compras Net’, a plataforma de compras do Governo Federal, tem fragilidades que permitem a visualização de dados de empresários e de outras pessoas envolvidas em processos de venda de produtos e serviços ao governo. O problema foi informado ontem ao CISO Advisor pelo empresário carioca Marcelo Branquinho, CEO da empresa de segurança de infraestrutura crítica TI Safe. O CISO Advisor aguarda manifestação do MInistério da Economia sobre o assunto.

Veja isso
Grupo Conti ameaça sistemas do governo da Costa Rica
Itália registra DDoS russo em sites do governo

Branquinho enviou na tarde de hoje ao CISO Advisor um vídeo mostrando a exposição dos dados, incluindo os dele próprio. “Eu fiquei bastante indignado com isso, e acho que é preciso resolver o problema”, disse o executivo. Segundo ele, é possível a qualquer pessoa ver todos os documentos enviados pelos participantes de concorrências e processos de compra do governo, mesmo sem estar logada no sistema. A pedido da redação, o especialista em segurança cibernética André Barreto, da empresa Netsensor, analisou a falha exibida pelo ComprasNet.

A falha se encontra na área de “Consulta Detalhada”, dentro de “Pregões Abertos para Lances”. No vídeo, Branquinho mostra uma consulta por meio de um formulário intitulado “Acompanhamento do Pregão”. Ali ele selecionou a situação “Julgamento/Habilitação”, acrescentou o número da licitação na qual estava interessado (um código chamado UASG) e o número do pregão. Depois de clicar no botão “OK”, a tela exibe uma linha com os principais dados da licitação.

Ao se clicar na linha, é pedida uma confirmação e abre-se nova tela onde existe a opção “Realizar Julgamento”. Ela exibe uma lista de todas as empresas que participaram e links para todos os documentos apresentados, incluindo os documentos pessoais dos sócios, por exemplo. “Existem ali documentos como CNHs muito bem digitalizadas. Alguém pode copiar um documento desses para dar um golpe”, alerta o empresário.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)