Bugs em sites do Bradesco, BB, SCPC e Moip expoem dados de milhoes de clientes

[algorista]

http://www1.folha.uol.com.br/tec/2013/08/1331286-brechas-em-sites-do-bradesco-e-do-banco-do-brasil-expoem-milhoes.shtml

São falhas tipicas de implementação barata (ou porca), muito comuns infelizmente ...

Esse tipo de exploração não costuma ser identificada em auditorias de segurança. É preciso experiência para pegar essas coisas e normalmente são ignoradas pelos usuários durante muito tempo.

No Brasil existe muito comercio desses backdoors e é surpreendente como os acessos sobrevivem por anos..

O tema é muito pertinente ao Bitcoin pois mostra a precariedade com que os serviços online vem sendo tratados mesmo em instituições que investem muito em segurança da informação.

Fica de alerta aos empreendedores.

[rpg]

o negocio de backdoors esta por todo o lado e vale muitos milhoes

[juca]

A brecha permite que os documentos sejam encontrados até por meio de uma pesquisa no Google e consiste em uma URL aberta (um link de internet desprotegido). Falha semelhante foi verificada no site do Moip, que presta serviços de pagamento on-line para diversas empresas, e permitia ver o mesmo tipo de dado

penso aqui com os meus botoes. seria possivel mitigar isso simplesmente editando a robots.txt file, excluindo as url's com Disallow:, correto?

[algorista]

A brecha permite que os documentos sejam encontrados até por meio de uma pesquisa no Google e consiste em uma URL aberta (um link de internet desprotegido). Falha semelhante foi verificada no site do Moip, que presta serviços de pagamento on-line para diversas empresas, e permitia ver o mesmo tipo de dado

penso aqui com os meus botoes. seria possivel mitigar isso simplesmente editando a robots.txt file, excluindo as url's com Disallow:, correto?

A parte da pesquisa seria resolvida dessa maneira sim, mas o maior bug nesses casos reportados estava no fato de os códigos de acesso serem sequenciais e nao estarem amarrados ao cpf do cliente, entao bastaria um acesso valido para acessar todos os registros do banco, só precisando incrementar os códigos, um loop basico.

[girino]

A brecha permite que os documentos sejam encontrados até por meio de uma pesquisa no Google e consiste em uma URL aberta (um link de internet desprotegido). Falha semelhante foi verificada no site do Moip, que presta serviços de pagamento on-line para diversas empresas, e permitia ver o mesmo tipo de dado

penso aqui com os meus botoes. seria possivel mitigar isso simplesmente editando a robots.txt file, excluindo as url's com Disallow:, correto?

A parte da pesquisa seria resolvida dessa maneira sim, mas o maior bug nesses casos reportados estava no fato de os códigos de acesso serem sequenciais e nao estarem amarrados ao cpf do cliente, entao bastaria um acesso valido para acessar todos os registros do banco, só precisando incrementar os códigos, um loop basico.

O problema eh mais em baixo. O problema todo eh que essas instituições NAO consideram que isso seja uma falha de segurança, pois nao há comprometimento de transações financeiras. Do ponto de vista do banco, ele nao será afetado, então nao precisa se preocupar. O problema todo eh que o banco nao tem nenhum compromisso em garantir a privacidade dos seus clientes, e nem eh obrigado a isso por lei.

Eles nao vão se preocupar em "fechar" esses furos nunca porque nao existe incentivo, nem legal, nem econômico.

[algorista]

O problema eh mais em baixo. O problema todo eh que essas instituições NAO consideram que isso seja uma falha de segurança, pois nao há comprometimento de transações financeiras. Do ponto de vista do banco, ele nao será afetado, então nao precisa se preocupar. O problema todo eh que o banco nao tem nenhum compromisso em garantir a privacidade dos seus clientes, e nem eh obrigado a isso por lei.

Eles nao vão se preocupar em "fechar" esses furos nunca porque nao existe incentivo, nem legal, nem econômico.

Exatamente !

Bancos são parasitas, eles não reservam nenhum respeito pelos 'clientes'.

[juca]

O problema eh mais em baixo. O problema todo eh que essas instituições NAO consideram que isso seja uma falha de segurança, pois nao há comprometimento de transações financeiras. Do ponto de vista do banco, ele nao será afetado, então nao precisa se preocupar. O problema todo eh que o banco nao tem nenhum compromisso em garantir a privacidade dos seus clientes, e nem eh obrigado a isso por lei.

Eles nao vão se preocupar em "fechar" esses furos nunca porque nao existe incentivo, nem legal, nem econômico.

Exatamente !

Bancos são parasitas, eles não reservam nenhum respeito pelos 'clientes'.

Isso e mesmo um absurdo, considerando que um dos maiores negocios no mundo do cyber crime hoje em dia, e o tao famoso golpe da "identity theft"(roubo de identidade).

[algorista]

O problema eh mais em baixo. O problema todo eh que essas instituições NAO consideram que isso seja uma falha de segurança, pois nao há comprometimento de transações financeiras. Do ponto de vista do banco, ele nao será afetado, então nao precisa se preocupar. O problema todo eh que o banco nao tem nenhum compromisso em garantir a privacidade dos seus clientes, e nem eh obrigado a isso por lei.

Eles nao vão se preocupar em "fechar" esses furos nunca porque nao existe incentivo, nem legal, nem econômico.

Exatamente !

Bancos são parasitas, eles não reservam nenhum respeito pelos 'clientes'.

Isso e mesmo um absurdo, considerando que um dos maiores negocios no mundo do cyber crime hoje em dia, e o tao famoso golpe da "identity theft"(roubo de identidade).

Quando um problema desses chega na diretoria das empresas eles simplesmente fazem o calculo:

Perdas+Indenizações VS Custo de Correção

Daí executam o que for mais barato.

E é por isso que as vezes vemos empresas serem condenadas na justiça a pagar indenizações milionárias. A indenização não é calculada pensando no prejudicado e sim para equilibrar essa conta, ou pelo menos deveria ser assim, mas a corrupção do judiciário vem mudando isso também.

É tão tragico que chega a ser engraçado 

[lipsmega]

Bitcoin pode auxiliar enormemente esses problemas. Bancos não serão mais necessários quando as moedas digitais tomarem conta do mercado. Poderemos fazer compras em total anonimato lol

[girino]

Bitcoin pode auxiliar enormemente esses problemas. Bancos não serão mais necessários quando as moedas digitais tomarem conta do mercado. Poderemos fazer compras em total anonimato lol

Não conte com o anonimato tão facilmente:

http://motherboard.vice.com/blog/if-youre-not-careful-bitcoins-arent-as-anonymous-as-you-think
https://en.bitcoin.it/wiki/Anonymity

Não é beeeeem assim...

[algorista]

Bitcoin pode auxiliar enormemente esses problemas. Bancos não serão mais necessários quando as moedas digitais tomarem conta do mercado. Poderemos fazer compras em total anonimato lol

Não conte com o anonimato tão facilmente:

http://motherboard.vice.com/blog/if-youre-not-careful-bitcoins-arent-as-anonymous-as-you-think
https://en.bitcoin.it/wiki/Anonymity

Não é beeeeem assim...

Faz pouco tempo vi uma apresentação em que se falava de um novo chip para embalagens lacradas, e que usaria de assinaturas digitais para comprovação de origem, reduzindo inspeções em produtos de origem comprovada, ou seja: sobra mais recursos pra inspecionar o restante.

Pega-se esse rastreio das mercadorias e junta-se ao rastreio do dinheiro e temos um mundo terrivelmente controlado.

O anonimato nas compras é algo que está com dias contados, em poucos anos um inspetor do governo vai poder te dizer exatamente quantas cuecas você compra por ano, e vai saber as marcas e as lojas em que comprou, e vai usar isso pra confrontar seu imposto pago, entre outras coisas. Não duvido nada que em breve encontrem uma maneira de rastrear até nosso lixo.

É o Abominavel Mundo Novo ...

[Gigalicia]

Bitcoin pode auxiliar enormemente esses problemas. Bancos não serão mais necessários quando as moedas digitais tomarem conta do mercado. Poderemos fazer compras em total anonimato lol

Não conte com o anonimato tão facilmente:

http://motherboard.vice.com/blog/if-youre-not-careful-bitcoins-arent-as-anonymous-as-you-think
https://en.bitcoin.it/wiki/Anonymity

Não é beeeeem assim...

Faz pouco tempo vi uma apresentação em que se falava de um novo chip para embalagens lacradas, e que usaria de assinaturas digitais para comprovação de origem, reduzindo inspeções em produtos de origem comprovada, ou seja: sobra mais recursos pra inspecionar o restante.

Pega-se esse rastreio das mercadorias e junta-se ao rastreio do dinheiro e temos um mundo terrivelmente controlado.

O anonimato nas compras é algo que está com dias contados, em poucos anos um inspetor do governo vai poder te dizer exatamente quantas cuecas você compra por ano, e vai saber as marcas e as lojas em que comprou, e vai usar isso pra confrontar seu imposto pago, entre outras coisas. Não duvido nada que em breve encontrem uma maneira de rastrear até nosso lixo.

É o Abominavel Mundo Novo ...

A nota fiscal eletrônica (São Paulo) já poderia ser considerado um passo nessa direção. Correto?

[algorista]

A nota fiscal eletrônica (São Paulo) já poderia ser considerado um passo nessa direção. Correto?

Sim, corretíssimo. E isso já está perfeitamente integrado a Secretaria da Fazenda, e atualmente em SP conseguiram fazer o povo informar o CPF nas compras com cupom fiscal, o que já é um preparativo pro proximo passo que será a implementação do cupom fiscal online.

O mundo está preocupado com a vigilancia por cameras mas ninguem percebe que o buraco é bem mais embaixo.

Por exemplo, ninguem está questionando o sistema DDA (Debito Direto Autorizado), que entrou sorrateiramente no sistema bancário e hj é uma potente ferramenta de vigilância e violação de privacidade.

[Gigalicia]

A nota fiscal eletrônica (São Paulo) já poderia ser considerado um passo nessa direção. Correto?

Sim, corretíssimo. E isso já está perfeitamente integrado a Secretaria da Fazenda, e atualmente em SP conseguiram fazer o povo informar o CPF nas compras com cupom fiscal, o que já é um preparativo pro proximo passo que será a implementação do cupom fiscal online.

O mundo está preocupado com a vigilancia por cameras mas ninguem percebe que o buraco é bem mais embaixo.

Por exemplo, ninguem está questionando o sistema DDA (Debito Direto Autorizado), que entrou sorrateiramente no sistema bancário e hj é uma potente ferramenta de vigilância e violação de privacidade.

É fácil fazer com que o povo adiram novos hábitos. Basta devolver alguma esmola do dinheiro roubado e todo mundo fica feliz.

[rpg]

nos ultimos 30 anos tenho feito consultodoria em dezenas de companhias tanto em portugal como nos estados unidos. A estupidez informatica reinante e de assustar. A ultima coisa que esta na mente de muitos informaticos e seguranca. A maioria dos programadores sao maquinas de codigo. E quando vem aos analistas nem e preciso falar, ja que a maioria nao faz a minima ideia do que e um computador

[algorista]

nos ultimos 30 anos tenho feito consultodoria em dezenas de companhias tanto em portugal como nos estados unidos. A estupidez informatica reinante e de assustar. A ultima coisa que esta na mente de muitos informaticos e seguranca. A maioria dos programadores sao maquinas de codigo. E quando vem aos analistas nem e preciso falar, ja que a maioria nao faz a minima ideia do que e um computador

Estou a mais de quinze anos envolvido com desenvolvimento de software e posso afirmar com certeza que no Brasil o cenário é identico.

[DarkHyudrA]

nos ultimos 30 anos tenho feito consultodoria em dezenas de companhias tanto em portugal como nos estados unidos. A estupidez informatica reinante e de assustar. A ultima coisa que esta na mente de muitos informaticos e seguranca. A maioria dos programadores sao maquinas de codigo. E quando vem aos analistas nem e preciso falar, ja que a maioria nao faz a minima ideia do que e um computador

Estou a mais de quinze anos envolvido com desenvolvimento de software e posso afirmar com certeza que no Brasil o cenário é identico.

Pois é, já tive a infelicidade de trabalhar com analista de sistemas que não tinha nenhuma formação na área, apenas na área de negócio. E é engraçado como as empresas sempre pensam que a velocidade do projeto está dada pelo número de macacos bebedores de café, e não pela análise e formação dos envolvidos.
Digo, para cada 2 estagiários e 1 funcionário de maior experiência, você está perdendo tempo para, quem sabe, treinar os 2 estags e tirando tempo do funcionário experiente, sendo que a curva de aprendizagem dos estags acabe nunca. (vamos admitir, tem gente que não nasceu pra ser da área)

[Gigalicia]

Pois é, já tive a infelicidade de trabalhar com analista de sistemas que não tinha nenhuma formação na área, apenas na área de negócio. E é engraçado como as empresas sempre pensam que a velocidade do projeto está dada pelo número de macacos bebedores de café, e não pela análise e formação dos envolvidos.
Digo, para cada 2 estagiários e 1 funcionário de maior experiência, você está perdendo tempo para, quem sabe, treinar os 2 estags e tirando tempo do funcionário experiente, sendo que a curva de aprendizagem dos estags acabe nunca. (vamos admitir, tem gente que não nasceu pra ser da área)

Especificação, modelagem e segurança são sempre deixados atrás de velocidade.  É um problema dos clientes e da empresa, que acham que a forma mais rápida de se construir algo é começando a construção o mais rápido possível. As pessoas subestimam o custo do re-trabalho.

Estão mais preocupados em dizer o quão rápido o cara tem que desenvolver do que o que ele precisa desenvolver em questão. Vejo prazos sendo discutidos o tempo inteiro e especificações técnicas sempre deixadas para a imaginação do desenvolvedor. Não quero aliviar a culpa de ninguém, todo mundo nessa história está errado. O problema é todo o sistema ser formado por pessoas incapazes de agir e tomar decisões.

[algorista]

Pois é, já tive a infelicidade de trabalhar com analista de sistemas que não tinha nenhuma formação na área, apenas na área de negócio. E é engraçado como as empresas sempre pensam que a velocidade do projeto está dada pelo número de macacos bebedores de café, e não pela análise e formação dos envolvidos.
Digo, para cada 2 estagiários e 1 funcionário de maior experiência, você está perdendo tempo para, quem sabe, treinar os 2 estags e tirando tempo do funcionário experiente, sendo que a curva de aprendizagem dos estags acabe nunca. (vamos admitir, tem gente que não nasceu pra ser da área)

Especificação, modelagem e segurança são sempre deixados atrás de velocidade.  É um problema dos clientes e da empresa, que acham que a forma mais rápida de se construir algo é começando a construção o mais rápido possível. As pessoas subestimam o custo do re-trabalho.

Estão mais preocupados em dizer o quão rápido o cara tem que desenvolver do que o que ele precisa desenvolver em questão. Vejo prazos sendo discutidos o tempo inteiro e especificações técnicas sempre deixadas para a imaginação do desenvolvedor. Não quero aliviar a culpa de ninguém, todo mundo nessa história está errado. O problema é todo o sistema ser formado por pessoas incapazes de agir e tomar decisões.

É muito comum os gestores serem pessoas sem absolutamente nenhuma noção de desenvolvimento de sistemas. E a questão dos estagio-temp-trainee-funcionários é uma praga que se alastrou irremediavelmente, e todo mundo sabe o quanto isso é prejudicial para todos.
A segurança de dados é ignorada em níveis até dificeis de acreditar, realmente está tudo aberto pra quem quiser acessar, em praticamente todo lugar.

[tionil]

Minha teoria é que a qualidade do software criado é inversamente proporcional ao tamanho da empresa.

Veja Android por exemplo, é do google que deveria entender melhor de software, mesmo assim é cheio de falhas.

Mas isso pode ser bom, já pensou se empresas grandes fossem conhecidas pela qualidade do seu software? Seria muito mais difícil para empresas pequenas e mais ágeis.