Vulnerabilidade no site do SENAI permite acessar banco com dados de alunos

o Site oficial do Serviço Nacional de Aprendizagem Industrial do Mato Grosso (SENAI-MT) possui uma grave falha de segurança que, se explorada por alguém com conhecimentos básicos de programação, permite o acesso integral ao seu banco de dados, que armazena informações delicadas de todos os alunos e funcionários. A vulnerabilidade foi denunciada pelo leitor Mikael Douglas através do novo canal de denúncias do TecMundo.
O bug em questão é bastante comum e costuma ser explorado com frequência por criminosos cibernéticos — trata-se de um conjunto de falhas no sistema que interage com o database do site através da linguagem SQL. Utilizando um ataque conhecido como Injeção de SQL (ou SQL Injection no original em inglês), o cracker consegue inserir instruções dentro de uma consulta (query) e extrair quaisquer informações que estiverem dentro do banco de dados.
Existem, na internet, programas que facilitam muito a exploração dessa vulnerabilidade. Basta que você saiba qual URL do site é a vulnerável para que a invasão ocorra sem maiores complicações. Por conta dessa falha, é extremamente fácil acessar listas com nome, endereço, RG, CPF, email, telefone e parentesco de todos os estudantes do SENAI de Mato Grosso, além de obter o login e senha dos mesmos para se autenticar em sistemas online.
Através da falha, conseguimos aces
sar o banco de dados com informações sigilosas dos alunos
Banco de dados? SQL? Entenda
Antes de entrarmos em maiores detalhes sobre como funciona a vulnerabilidade, é essencial explicarmos o significado de alguns termos técnicos. Primeiramente, um banco de dados (também chamado de base de dados ou database) nada mais é do que uma coleção de informações que se relacionam entre si e que é guardada dentro do servidor de determinado site ou serviço online.
Já a SQL (sigla para Structured Query Language, ou Linguagem de Consulta Estruturada) é uma linguagem universal amplamente utilizada como interface para executar várias ações dentro de um banco de dados. Ela é a responsável por, quando necessário, inserir e editar registros da base, criar novos objetos, gerenciar usuários e principalmente consultar informações (ou seja, realizar uma busca no database).
Sabendo disso, fica fácil entender que SQL Injection nada mais é do que se aproveitar de uma falha no sistema de banco de dados para controlar o SQL de um site e gerenciar o banco de dados para fins maliciosos. Como dissemos anteriormente, existem diversos de sites com tal vulnerabilidade na internet brasileira, mas o caso do SENAI-MT chama atenção pela grande quantidade de dados críticos que podem ser roubados através deste método.
Diversos sites brasileiros podem ser invadidos via SQL Injection
Conseguimos acessar o banco de dados
Uma vez alertado pelo leitor, o TecMundo tentou explorar a vulnerabilidade sozinho para confirmar o quão fácil é obter essas informações sigilosas. O primeiro passo foi baixar um programinha — cujo nome não informaremos — que automatiza boa parte do processo de invadir o banco de dados e que é distribuido de graça em sites obscuros da internet. O software é leve, e, embora esteja em inglês, é muito simples de usar.
Em apenas trinta segundos, tivemos acesso a uma lista com mais de cem fichas de alunos
Com o software aberto, bastou informar a URL do SENAI-MT que contém a vulnerabilidade e ele mesmo se encarrega de encontrar o erro, fazendo a listagem dos bancos de dados encontrados naquele servidor. A partir daí, é necessário ir abrindo tabela por tabela, iniciando aquilo que é chamado file dump (que podemos traduzir como descarga de arquivos), momento em que o programa efetivamente faz o download dos dados para seu PC.
Dumpar informações de uma database grande é um processo demorado — porém, mesmo cancelando a operação após trinta segundos, tivemos acesso a uma lista com mais de cem fichas de alunos. Tínhamos, em nossas mãos, os seguintes dados: nome completo, login, senha, RG, CPF, RG (com orgão emissor e data de emissão), CPF, endereço, telefone, email, nome dos pais e até mesmo curso no qual o aluno está ou estava matriculado.
Também conseguimos encontrar informações sobre funcionários
A resposta do SENAI
Vasculhando um pouco mais, o TecMundo conseguiu ainda encontrar tabelas com informações de funcionários da instituição (com direito a credenciais de login e senhas sem criptografia), além de listas com dados de candidaturas, calendários internos e dados da Faculdade de Tecnologia do Mato Grosso (FATEC-MT), órgão associado ao SENAI. É difícil mensurar quantas informações podem ser roubadas através dessa vulnerabilidade.
O TecMundo entrou em contato com a assessoria de imprensa do SENAI-MT, mas, até o momento, a instituição não se pronunciou sobre o assunto. Esta matéria será atualizada assim que a entidade emitir um comunicado oficial.
Se gostou comente, meu pagamento é seu comentário, valorize o site agradeça.
O estímulo é meu , a reação é sua, o Site é nosso.
Share on Google Plus

About Canal TheEvolutionTecH

Quem Sou? Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades. ""
    Blogger Comment

1 comentários: