A pedido do CISO Advisor, o especialista em segurança cibernética André Barreto, da empresa Netsensor, analisou a falha exibida pelo ComprasNet a partir das informações trazidas por Marcelo Branquinho: “A situação é ainda pior do que imaginei ao assistir ao vídeo. Fiquei um certo tempo procurando informações sobre pregões para poder simular o caso, até que, como um hacker ético que se preze, tentei fazer a pesquisa sem informar nenhum dado e recebi na tela essa dica que me deixou surpreso” (primeira tela abaixo).
André explica que nesse caso há “uma série de problemas graves de segurança e quebra de privacidade, devido a diversos fatores, dentro os quais destaco: 1) O acesso aos dados é feito sem nenhum tipo de autenticação; 2) Não há nenhum tipo de validação se a origem tem permissão para acessar aqueles dados (remete ao item 1); 3) Os dados estão sendo transmitidos por um meio não criptografado (HTTP puro); 4) Ainda que force o uso de HTTPS para criptografar o dados, o certificado é inválido (ainda que ajuste a URL para ser a mesma usada na emissão do certificado)”.
“Ainda não acreditando que teria sucesso, informei apenas a data inicial 01/06/2022, selecionei a situação Julgamento/Habilitação e mal pude acreditar, 163 pregões à minha disposição, um verdadeiro self service. Basta ir entrando nos pregões e, em cada um deles, entrar nas empresas que participaram e ter acesso a todos os documentos enviados, tanto das empresas quanto dos respectivos sócios. Como dito pelo Marcelo Branquinho no vídeo, inclusive documentos digitalizados em alta resolução”.
André enviou ao CISO Advisor as telas que comentou durante o acesso ao site. Veja abaixo.