Question

A ONG InfosecSwift recebeu uma denúncia anônima. Nela, o hacker denunciante informa que descobriu uma

vulnerabilidade na gestão do Plano de Previdência do Banco Produção Rural: o BPRPrevidência, que conta com mais de 150 mil contribuintes.

A falha, segundo o denunciante, permite que qualquer pessoa tenha acesso a dados pessoais dos participantes e, além disso, permite que o invasor possa editar e cadastrar beneficiários como se fosse o próprio titular da conta.

A partir de um link de qualquer conta do BPRPrevidência, o atacante só precisa usar a mesma URL e substituir aleatoriamente o número sequencial do participante, que aparece no fim do endereço.

Com isso, o atacante pode chegar aos seguintes dados do cadastrado: nome, endereço físico completo, CPF, data de nascimento, e-mail, telefone, nome da entidade para a qual o participante pretenda fazer uma portabilidade, o tipo de plano e o CNPJ da empresa patrocinadora, identificação do valor bruto disponível na conta e até transfência desse valor para beneficiários cadastrados. Esse acesso permite, ainda, a exclusão de beneficiários já existentes e a inclusão de um novo beneficiário, com a transferência do saldo da conta para este novo beneficiário.

O relato envolvendo a BPRPrevidência descreve:

Escolha uma opção:
a. Uma simples falha de segurança.
b. Uma falha de segurança em perspectiva e uma vulnerabilidade do sistema. A falha de segurança não é "em perspectiva" pois a vulnerabilidade do sistema foi explorada no mínimo para teste das possibilidades. E também não se tratou de mera vulnerabilidade, pois a invasão expôs o Estado e já significou o próprio incidente consumado.
c. Um incidente de segurança da informação e a violação de dados.
d. Uma violação de dado sensível.

RESPONDER

Melissamoraes está aguardando sua ajuda, Clique aqui para responder.

Mais perguntas de Administração

Categorias