Falha da OAB deixou expostos dados de todos os advogados do país

Views: 267
0 0
Read Time:3 Minute, 28 Second
Sculpture of Themis, mythological

Grupo de pesquisadores de segurança informou o problema à OAB em 8 de maio, mas até agora ele não havia sido corrigido

Paulo Brito

O grupo de pesquisadores de segurança da Insanity Security Lab publicou nesta segunda-feira, 10, no Facebook, notificação sobre uma vulnerabilidade existente no site da OAB Nacional. A brecha permite a exibição dos dados de todo o cadastro nacional de advogados, o CNA, pela simples alteração dos parâmetros de uma URL de consulta. Em 2016, esse cadastro já contava com 1,02 milhão de registros.

Falando em nome do grupo, o especialista Mateus Veras disse que a falha foi descoberta em três meses atrás, e informada à OAB em 8 de maio. Entretanto, ela continuou sem correção até domingo, 9, quando o grupo decidiu publicar sua existência na expectativa de que a OAB finalmente corrija o problema. 

A falha é bem conhecida e registrada como “CVE-2019-19616: Insecure Direct Object Reference (IDOR) in Xtivia Web Time and Expense”. A reportagem de CISO Advisor entrou em contato com a assessoria de imprensa da OAB, que naquele momento não tinha conhecimento do problema.

O vice-presidente da Comissão Especial de Tecnologia da OAB, Marcos Cabello, fez um post a seguir informando que “o Conselho Federal da Ordem dos Advogados do Brasil, ao tomar conhecimento de noticia indicando vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional, adotou a imediata providência de sua inativação provisória”.

O Conselho Federal da OAB foi notificado sobre o possível vazamento de dados de sua base, por meio de uma vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional. Imediatamente, adotou as providências por meio de sua Gerência de Tecnologia da Informação. As correções necessárias foram imediatamente implementadas e o problema, sanado.

A OAB está comunicando às autoridades o ocorrido, para que sejam procedidas as investigações necessárias.

O Conselho Federal informa ainda que está discutindo um plano de aperfeiçoamento contínuo da segurança dos dados do Cadastro Nacional dos Advogados, a ser implantado em conjunto com a seccionais.

O grupo, formado também por Deivid Abreu, Jonathan Baskov e Raphael Fiorin, já detectou e reportou falhas em organizações como TSE e Wizard, por exemplo. Este é o post feito pelo grupo no Facebook, com detalhes da vulnerabilidade:

Nós da Insanity Security Lab viemos através deste pronunciamento divulgar uma falha de vazamento de dados utilizando a técnica de IDOR, esta falha permite acesso a dados de cunho sensível sendo eles:

• Nome Completo

• Nome da mãe e pai

• Nome Profissional

• Data de nascimento

• RG (Número, Data de emissão, Órgão emissor)

• CPF

• Número do título eleitoral

• Cidade eleitoral

• Endereço Residencial (Logradouro, Complemento, Numero, Bairro, Cidade, CEP)

• Número de Telefone e Celular

• E-Mail

Este LEAK tem o objetivo de mostrar como o sistema da OAB é vulnerável e utilizando técnicas simples, conseguimos dados sigilosos. E mesmo assim, a mesma não se prontificou em arrumar a falha ou dar algum esclarecimento, deixando a falha exposta.

Esperamos encarecidamente que a OAB corrija este erro, assim não expondo pessoas inocentes a riscos de uma organização que não corrige nem um simples erro.

Como funciona o IDOR: O IDOR se trata de uma vulnerabilidade que ocorre quando um sistema web utiliza uma forma insegura para referenciar objetos e dados a serem retornados ou modificados sem garantir que a pessoa que esteja solicitando tenha o devido nível de acesso para executar tal ação.

O IDOR está localizado na página:  https://www1.oab.org.br/identidade/ImprimirDadosAdvogado.aspx?id=1000&idSecc=582092

Modificando a string id=1000 e você terá acesso a todos os dados de todos os advogados do BRASIL! 

Uma falha relativamente fácil para ter acesso a tantas coisas em um sistema que deveria ter o mínimo segurança … E o melhor, esta falha foi reportada já a muito tempo! (8 May, 2020) E a OAB não resolveu…

Como é de costume, falhas reportadas e não resolvidas são expostas, para assim a empresa tomar providencias…

Mas duvido muito que a OAB irá resolver esta falha, só estão preocupados com dinheiro e não com seus advogados.

Ass. INSANITY SECURITY LAB

FONTE: CISO ADVISOR

Previous post KPMG posiciona análise de dados e segurança cibernética como tendências na área de auditoria interna nos próximos três anos
Next post Por dentro das iniciativas de segurança do Itaú contra fraudes na pandemia

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *