A matéria original foi publicada na Folha da Tarde de SP na coluna Opinião (http://bit.ly/OYm7T ).
Agora uma entrevista sobre o mesmo tema ganhou um bom corpo, olha só.
Gazeta do Povo - PR http://bit.ly/16sVK9 e Jornal de Londrina http://bit.ly/NLV92 Transporta Brasil http://bit.ly/ez7up e até no Zé Moleza http://bit.ly/3hY1mM, Portal do Consumidor (do governo federal) http://bit.ly/9VYnS
Em Julho deste ano foi divulgada na mídia (http://tinyurl.com/n39c8q) uma vulnerabilidade que expunha os dados dos usuários da Telefonica.
Na época um hacker auto-intitulado "white hat" criou um portal e denunciou a falha. Lembro-me de ter visto a notícia, sem muito destaque, no Link do Estadão. Cheguei a visitar o site, vi que o método era legítimo (assustadoramente legítimo) e alguns dias depois já não funcionava mais.
O caderno de tecnologia Link do Estadáo entrou em contato com a Telefonica dia 10 de julho. De acordo com a assessoria da empresa, o domínio divulgado por K-Max "não é um endereço oficial da Telefonica". Em outras palavras, não tinham a mínima idéia do que estava acontecendo.
Agora este mesmo 'hacker' está preso e foi indiciado por crime de divulgação de segredo qualificado. Seu nome, Vinícius Camacho Pinto ou K-Max. Se for considerado culpado, ele pode se condenado a quatro anos de prisão e pagamento de multa. Na época de sua descoberta, era possível consultar informações confidenciais diretamente nos BD da Telefónica usando um script php criado por Vinícius.
Segundo ele, há indícios de que a vulnerabilidade existia há cerca de 3 anos (“header http Last-Modified” informava o ano de 2006) e que não teve a intensão em momento algum de prejudicar a empresa e seus assinantes. Primeiro porque você só era possível buscar (em seu portal) um cliente por vez. Segundo porque você só poderia buscar um cliente já sabendo de antemão algum dado dele. Terceiro que esses dados mostrados pelo script eram parciais.
Entretanto é possível afirmar que a vulnerabilidade permitia acesso irrestrito a todo o BD de assinantes da Telefônica. O script PHP neste caso servia mais como "proteção" na demonstração da vulnerabilidade do que roubo de dados.
Ao invés de informar a empresa da vulnerabilidade, achou mais efetivo criar o site e informar a mídia do problema. Com a exposição pela imprensa, a falha foi sanada em pouco mais de 24 horas. Sem querer tomar partido em um caso ainda não julgado e com pouquissimas informações de ambos os lados, mas entendo perfeitamente a frustração de se ver um erro, tentar entrar em contato com o fabricante de um produto e cair em um email de SAC que nunca tem retorno. Não vamos nem começar a falar de atendimento telefônico, e os scripts de telemarketing...
Qual o papel da Telefónica nisso tudo? É plenamente aceitável que a empresa tome suas medidas uma vez que se sente prejudicada, mas é impossível deixar de pensar que na internet temos 1 hacker bem intencionado para 10 questionáveis.Quem mais além de K-Max pode ter se valido dessas informações?
Falhas de SQL Injection não são tão difíceis de serem identificadas. É sabido que não existe proteção 100% eficiente, mas existe um abismo separando eficência e segurança e negligência de segurança.
Este caso será extremamente interessante de ser analisado em um futuro próximo. Os procedimentos utilizados foram, até prove-se o contrário, legítimos.
As notícias mais atuais sobre o tema estão em http://url2it.com/bcfh, http://url2it.com/bcfi, http://url2it.com/bcfj e http://info.abril.com.br/noticias/seguranca/k-max-fala-sobre-problemas-da-telefonica-21082009-15.shl?3
