Publicidade

Brecha de segurança permitia acesso a informações da SSP de Goiás

Por| 24 de Janeiro de 2020 às 11h57

Link copiado!

Brecha de segurança permitia acesso a informações da SSP de Goiás
Brecha de segurança permitia acesso a informações da SSP de Goiás

Uma grave brecha de segurança permitia acessar os dados de mandados judiciais, investigações e processos em andamento da Secretaria de Segurança Pública do Estado de Goiás. Por meio da vulnerabilidade, era possível acessar informações confidenciais sem qualquer tipo de verificação de credenciais, colocando em risco dados pessoais dos envolvidos e também detalhes sobre o andamento de investigações e procedimentos legais.

A falha foi relatada ao Canaltech pelo técnico em redes Mateus Gomes e aparecia no MPortal, um sistema online que permite acesso, por oficiais e autoridades, aos dados da Secretaria de Segurança Pública. O problema é que, antes de carregar a página que exigia a inserção de credenciais de acesso, a plataforma em si era carregada de forma direta, o que permitia sua utilização por pessoas não-autorizadas.

A brecha podia ser explorada a partir de qualquer navegador e sem a necessidade de softwares especializados, bastando apenas que o usuário interrompesse o carregamento da página antes da exibição dos campos de login. “Esse tipo de fraqueza ocorre quando o site não possui um controle de acesso adequado para definir o acesso a dados que deveriam ser sigilosos”, explica o técnico.

Continua após a publicidade

Segundo ele, existe a necessidade de verificação de autenticação a cada ação, para que apenas pessoas autorizadas possam utilizar o sistema, o que não acontecia no caso do site da SSP/GO. Dessa forma, informações confidenciais como mandados de prisão, procedimentos de investigação e processos poderiam vir a público. “[Tudo isso] poderia ser compartilhado ou vendido para pessoas envolvidas, comprometendo todo o trabalho [dos oficiais]”, completa.

Emilio Simoni, diretor sênior do dfndr Lab, laboratório de segurança digital da PSafe, ressalta os riscos aos próprios usuários, uma vez que informações pessoais e sensíveis também constam nos processos. “É bastante comum que cibercriminosos procurem explorar pontos vulneráveis de segurança para roubar conteúdo sigiloso ou bases de dados disponíveis sem senhas de proteção”, explica.

Simoni ressalta também o perigo de ataques de engenharia social, um ponto também levantado por Gomes. Enquanto o pesquisador da PSafe indica que as informações vazadas poderiam ser utilizadas para golpes contra aqueles que aparecem citados nos dados vazados, o técnico indica que tentativas desse tipo poderiam ser realizadas também contra os próprios investigadores e policiais, com hackers buscando obter credenciais de acesso a outros sistemas da Secretaria de Segurança Pública do Estado de Goiás.

Continua após a publicidade

Isso se deve, segundo ele, ao fato de a interface de pesquisa e inserção de logins ser carregada diretamente na máquina do usuário, que teria acesso ao código-fonte completo da aplicação. Em demonstração feita ao Canaltech, Gomes exibiu um conceito de página manipulada para roubo de credenciais, utilizando a aparência do sistema oficial, mas armazenando as informações confidenciais exibidas pelo utilizador.

“Um atacante também poderia utilizar de força-bruta para localizar outros diretórios que sofram do mesmo problema de controle inadequado de acesso, aumentando a exposição dos dados”, completou o técnico. Como forma de proteger o sigilo das informações disponíveis no MPortal e o segredo de processos e outros procedimentos judiciais em andamento, nem Gomes nem o Canaltech realizaram qualquer pesquisa no sistema.

A Secretaria de Segurança Pública do Estado de Goiás foi notificada, por telefone e por e-mail, em 13 de janeiro. O órgão não respondeu à reportagem na ocasião, mas dois dias depois, na última quarta-feira (15), solucionou a brecha, não mais permitindo o carregamento do sistema antes da inserção das credenciais. Agora, o formulário com login e senha é exibido rapidamente, com o acesso somente sendo possível após essa verificação.

Continua após a publicidade

Em nota oficial, entretanto, a SSP/GO negou a existência de uma brecha que permitiria a visualização dos dados do MPortal. À reportagem do Canaltech, o órgão afirmou que o acesso sem as devidas credenciais é impossível e que apenas a interface da plataforma é exibida para os usuários, “como ocorre com qualquer site ou aplicativo moderno, como instituições financeiras, por exemplo”.

Medidas de proteção

Como não foi possível verificar se algum tipo de acesso não-autorizado aos dados do portal foi realizado, Simoni alerta para os perigos envolvendo extorsão e engenharia social também no caso dos usuários finais, possivelmente citados em investigações. “É comum que criminosos utilizem esses dados expostos para aplicar golpes personalizados ou tente fazer chantagens em troca de dinheiro”, completa.

Continua após a publicidade

Gomes alerta, ainda, para outra vulnerabilidade ainda disponível no MPortal e que pode ser explorada por atacantes. A versão do servidor utilizado pela SSP/GO pode ser visualizada por qualquer usuário que saiba o que fazer e, com isso, abre a possibilidade para novas explorações por meio de brechas conhecidas no sistema, principalmente caso atualizações de segurança ainda não tenham sido aplicadas.

“[O ideal seria] sempre atualizar o software e evitar a exposição de arquivos para pessoas não autenticadas, principalmente”, completa o técnico. A Secretaria de Segurança Pública do Estado de Goiás, entretanto, não se pronunciou sobre esse assunto específico.