SCPC foi avisada de vulnerabilidade, afirma hacker

Paulo Brito
05/09/2018
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um post no Twitter feito na noite de ontem pelo hacker Unnamed Leaker (UL) afirma que ele enviou um e-Mail e um relatório à Boa Vista SCPC informando sobre vulnerabilidades em um servidor. Isso teria acontecido antes da publicação de notícias sobre a existência de um suposto incidente cibernético com um servidor de dados da empresa. UL disse que nessa comunicação avisou que havia uma vulnerabilidade em uma API (application programming interface) exposta na Internet. Numa espécie de manifesto publicado às 19h de ontem, UL diz “eu avisei a Boa Vista da falha, enviei um e-mail, com um report detalhado, explicando a situação, a gravidade dos fatos e eles CAGARAM pra mim, pro meu report, não mandaram sequer um obrigado e pior ainda, NÃO CORRIGIRAM A FALHA!”

Além do manifesto, UL publicou um endereço onde há um arquivo para download. O CiberSecurity fez download do arquivo e verificou que ele está no formato CSV, apropriado para importação em planilhas e bancos de dados. O conteúdo são três milhões de registros, contendo os seguintes campos: CEP, CPF, Logradouro, Mãe, Nascimento,Número,  Titular e Último Score.

O Cisoadvisor entrou em contato com a assessoria de imprensa da Boa Vista SCPC e enviou um email com o endereço do manifesto e do download,  solicitando a confirmação de que 1) houve recebimento do e-mail e relatório de alerta enviado pelo hacker e 2) os dados em download sejam de cadastros do SCPC.

UL diz que a falha foi descoberta depois de ficar sabendo da existência da API e decidido conferir se ela existia e funcionava. “Se há uma API, há um endpoint e se há um endpoint, há um servidor e se há um servidor, há informações que podem estar (estão!!!) desprotegidas”, disse no documento.

O que mais o surpreendeu, escreveu no manifesto, “foi o fato de que nem precisei fazer qualquer ataque contra o servidor, a API estava aberta e com uma simples enumeração de usuário era possível obter dados de qualquer pessoa, desde que estivesse disponível para pesquisa”.

Há estimativas segundo as quais a Boa Vista SCPC tem cerca de 350 milhões de cadastros para consulta. Os cadastros contêm uma nota de crédito (score) para que analistas concedam crédido ou não à pessoa que consta do cadastro. “Após ver que até os fracassados da Fatal Error Crew tinham acesso aos dados”, continua no documento, “decidi então tornar público, com envio de evidências e tudo mais (para o Tecmundo, também) e a Boa Vista continou negando, agindo como se nada tivesse acontecido”. Fatal Error Crew é um grupo hacker que assumiu a autoria por um vazamento de dados de cartões da C&A uma semana atrás.

Existe pelo menos uma API publicada como sendo da Boa Vista SCPC. Ela está no Git Hub, contendo código e documentação, no endereço https://github.com/Artenes/scpc-boa-vista-api

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest