0
0
A falha foi informada com e-mail à empresa em outubro, mas só foi corrigida após o dia 6 de dezembro
A SPTrans aparentemente corrigiu em seus sistemas, entre o dia 6 de dezembro e o dia 9 de dezembro, uma falha que dava acesso aos dados do Bilhete Único, utilizado no transporte público da região metropolitana de São Paulo. A falha foi informada pelo pesquisador Mateus Veras (@T_virussss) com e-mail à empresa em outubro, mas segundo ele não houve resposta. No dia 6 de dezembro, o pesquisador publicou o vídeo com a prova de conceito da falha (assista abaixo). Hoje Veras informou que a falha foi finalmente corrigida.
A falha apontada está no Struts 2 do servidor Apache (http/https), uma plataforma de código aberto utilizada para o desenvolvimento de aplicações Java EE (enterprise edition).
Essa falha é uma das 70 já detectadas nessa plataforma, e que foram corrigidas versão após versão. Essa não é a primeira apontada por usuários e pesquisadores no site da SPTrans e em particular no sistema de consulta do Bilhete Único. Ao publicar o vídeo com a vulnerabilidade após dois meses aguardando resposta da SPTrans, Veras decidiu publicar a prova de conceito como alerta para os usuários. Após esse fato a empresa finalmente corrigiu o problema.
Ao fazer a publicação do vídeo, Veras assinalou: “Esta publicação foi feita com base na ISO/IEC 29147:2018. Este documento fornece requisitos e recomendações para fornecedores sobre a divulgação de vulnerabilidades em produtos e serviços. A divulgação de vulnerabilidades ajuda os usuários a proteger seus sistemas e dados, priorizar investimentos defensivos e avaliar melhor os riscos. A falha foi reportada via email com 2 meses foi corrigida, até o momento não responderam o email mas foi corrigida.”
O pesquisador acrescentou um link com explicações sobre o funcionamento da falha e outro para a ferramenta utilizada na prova de conceito.
FONTE: CISO ADVISOR