Hacker brasileiro descobre falha de segurança no Bayern de Munique

Um hacker brasileiro de 24 anos de idade foi o responsável pela descoberta de uma falha de segurança nos sistemas do Bayern de Munique, um dos principais times de futebol da Europa e o mais bem-sucedido da Alemanha. A brecha era resultado de uma falha de configuração em servidores, que estavam expondo informações sensíveis e dados da infraestrutura digital do clube.

• Falha conhecida há mais de 10 anos é a mais explorada em ataques no Brasil
• Ransomware fica mais rápido com ataques de criptografia “intermitente”

De acordo com Daniel “Ghost” Martins, que revelou a existência e também a correção da vulnerabilidade ao Canaltech, eram duas aberturas expondo informações e detalhes que deveriam estar ocultos. O acesso a tais dados era realizado de maneira simples, bastando uma manipulação de URL em um navegador de internet para que tudo fosse visualizado por qualquer pessoa, sem a necessidade de autenticação ou qualquer verificação.

Trata-se de uma vulnerabilidade comum, na qual deslizes na configuração de servidores ou o uso de preferências padronizadas, por exemplo, acaba resultado na abertura de informações que deveriam estar protegidas ao público. Acontece tanto que, em agosto, essa foi a causa apontada pela Microsoft em 80% dos ataques de ransomware, principalmente em um ambiente no qual vetores de acesso acumulam cada vez mais valor nas mãos de cibercriminosos.

“Não cheguei a me aprofundar de fato na falha, pois o que encontrei já era grande o bastante e eu estava trabalhando sem permissão do clube”, explicou Martins. Ele afirmou ser torcedor do Bayern e, por conta disso, compôs um relatório que foi enviado à equipe de tecnologia e segurança do time, responsável pela solução do problema após seu contato.

O hacker já chegou a apontar outras vulnerabilidades a grandes empresas, mas a localizada no Bayern de Munique, com certeza, é a maior. Sem citar nomes por questões éticas, Martins fala em companhias como uma grande montadora japonesa de veículos, uma empresa de laticínios famosa nacionalmente, uma escola de línguas e um banco digital. “Tem muita empresa que chega a ameaçar quando encaminhamos algo assim, mesmo fazendo o bem. A equipe de TI [do time] foi extremamente cordial”, comenta ele.

“Uma falha leva a outra, então fiz o relatório e procurei encaminhar assim que descobri [esta]”, complementa o especialista, que contou ter começado a estudar tecnologia aos 12 anos de idade, seguindo logo depois para o mundo do hacking a partir de matérias e materiais que encontrava na internet. Hoje, ele segue atuando como hacker ético e participando de programas de bug bounty, onde prêmios são pagos pela descoberta de falhas de segurança.

Os detalhes da brecha no clube alemão também não foram compartilhados com a reportagem. Segundo o hacker ético, a abertura já foi corrigida e os dados disponíveis nos servidores mal configurados não podem mais ser acessados por terceiros. Em agradecimento, Martins recebeu de presente uma camisa do Bayern autografada pelo jogador Thomas Müller, atacante da equipe.

Bayern de Munique não comentou sobre a falha

O Canaltech foi contato pelo hacker ético sobre a abertura em agosto, depois que ela já estava fechada pelos especialistas do Bayern de Munique. Pelo menos até o momento em que esta matéria é escrita, não existem indícios de vazamentos de dados pertencentes ao clube, que poderiam ter sido obtidos a partir da vulnerabilidade, nem informações sobre o caráter das informações que poderiam ser encontradas nos servidores desprotegidos. A reportagem tentou contato durante duas semanas com o time, mas não recebeu resposta.