SPTrans corrige falha que dava acesso a dados do Bilhete Único

Views: 229
0 0
Read Time:1 Minute, 35 Second

A falha foi informada com e-mail à empresa em outubro, mas só foi corrigida após o dia 6 de dezembro

A SPTrans aparentemente corrigiu em seus sistemas, entre o dia 6 de dezembro e o dia 9 de dezembro, uma falha que dava acesso aos dados do Bilhete Único, utilizado no transporte público da região metropolitana de São Paulo. A falha foi informada pelo pesquisador Mateus Veras (@T_virussss) com e-mail à empresa em outubro, mas segundo ele não houve resposta. No dia 6 de dezembro, o pesquisador publicou o vídeo com a prova de conceito da falha (assista abaixo). Hoje Veras informou que a falha foi finalmente corrigida.

A falha apontada está no Struts 2 do servidor Apache (http/https), uma plataforma de código aberto utilizada para o desenvolvimento de aplicações Java EE (enterprise edition).

Essa falha é uma das 70 já detectadas nessa plataforma, e que foram corrigidas versão após versão. Essa não é a primeira apontada por usuários e pesquisadores no site da SPTrans e em particular no sistema de consulta do Bilhete Único. Ao publicar o vídeo com a vulnerabilidade após dois meses aguardando resposta da SPTrans, Veras decidiu publicar a prova de conceito como alerta para os usuários. Após esse fato a empresa finalmente corrigiu o problema.

Ao fazer a publicação do vídeo, Veras assinalou: “Esta publicação foi feita com base na ISO/IEC 29147:2018. Este documento fornece requisitos e recomendações para fornecedores sobre a divulgação de vulnerabilidades em produtos e serviços. A divulgação de vulnerabilidades ajuda os usuários a proteger seus sistemas e dados, priorizar investimentos defensivos e avaliar melhor os riscos. A falha foi reportada via email com 2 meses foi corrigida, até o momento não responderam o email mas foi corrigida.”

O pesquisador acrescentou um link com explicações sobre o funcionamento da falha e outro para a ferramenta utilizada na prova de conceito.

FONTE: CISO ADVISOR

Previous post Famílias de ransomware intensificam ciberataques
Next post 6 novas maneiras que ciberameaças poderão atacar em 2021

Deixe um comentário