Dados de mais de 41 mil pessoas vazaram na Internet por uma falha de programação. Assim, as informações coletadas em um estudo realizado pela empresa de pesquisa de mercado TNS Infratest/Emnid ficaram abertas à consulta de qualquer internauta, segundo o site Chaos Computer Club.
Os dados estavam acessíveis através de uma URL simples. A falha, embora não seja a primeira do tipo, é um erro de segurança banal, normalmente cometido por programadores principiantes. Além Também podiam ser visualizados datas de nascimento, endereços de email e números de telefone e, até mesmo, dados mais críticos como números de cartões de crédito e informações bancárias.
A falha chegava a expor informações muito pessoais e potencialmente perigosas como o número de crianças na casa e eletrodomésticos utilizados na residência. De acordo com o Chaos Computer Club, é possível encontrar, com um pouco de "garimpo", informações ainda mais sigilosas.
Os 41 mil registros "pescados" pelo Chaos Computer Club foram obtidos com um simples script em linguagem Python. Não foi preciso "hackear" nem invadir o site da TNS Infratest/Emnid, bastando apenas manipular a URL.
Basicamente, o endereço de cadastro de cada pesquisado no site se parecia com o seguinte: www.report-global.com/blablabla/data.aspx?id=11XXXX. O campo "id" na URL é, exatamente, o número de cadastro de cada entrevistado. Basta alterar manualmente esse valor para ter acesso irrestrito e sem precisar de senhas aos dados dos outros entrevistados.
O site Wired Security considerou a falha, pelo seu amadorismo, "chocante e estúpida". A descrição do procedimento (em alemão) pode ser obtida no endereço tinyurl.com/5c6dht.
Dirk Engling, porta-voz do Chaos Computer Club, afirma que o mínimo que a companhia deve fazer é comunicar os entrevistados sobre o vazamento das informações. Finalizando, alerta que é hora de se atentar para as políticas de segurança na manipulação de dados tão sensíveis.
A notícia foi divulgada também no site Slashdot.org e no portal alemão All About Security. Embora preocupante, o caso não é único. Recentemente as empresas alemãs German Telecom e Meldeämtern também apresentaram ocorrências de informações vazadas na rede, bem como muitas outras em inúmeros países.
Os dados estavam acessíveis através de uma URL simples. A falha, embora não seja a primeira do tipo, é um erro de segurança banal, normalmente cometido por programadores principiantes. Além Também podiam ser visualizados datas de nascimento, endereços de email e números de telefone e, até mesmo, dados mais críticos como números de cartões de crédito e informações bancárias.
A falha chegava a expor informações muito pessoais e potencialmente perigosas como o número de crianças na casa e eletrodomésticos utilizados na residência. De acordo com o Chaos Computer Club, é possível encontrar, com um pouco de "garimpo", informações ainda mais sigilosas.
Os 41 mil registros "pescados" pelo Chaos Computer Club foram obtidos com um simples script em linguagem Python. Não foi preciso "hackear" nem invadir o site da TNS Infratest/Emnid, bastando apenas manipular a URL.
Basicamente, o endereço de cadastro de cada pesquisado no site se parecia com o seguinte: www.report-global.com/blablabla/data.aspx?id=11XXXX. O campo "id" na URL é, exatamente, o número de cadastro de cada entrevistado. Basta alterar manualmente esse valor para ter acesso irrestrito e sem precisar de senhas aos dados dos outros entrevistados.
O site Wired Security considerou a falha, pelo seu amadorismo, "chocante e estúpida". A descrição do procedimento (em alemão) pode ser obtida no endereço tinyurl.com/5c6dht.
Dirk Engling, porta-voz do Chaos Computer Club, afirma que o mínimo que a companhia deve fazer é comunicar os entrevistados sobre o vazamento das informações. Finalizando, alerta que é hora de se atentar para as políticas de segurança na manipulação de dados tão sensíveis.
A notícia foi divulgada também no site Slashdot.org e no portal alemão All About Security. Embora preocupante, o caso não é único. Recentemente as empresas alemãs German Telecom e Meldeämtern também apresentaram ocorrências de informações vazadas na rede, bem como muitas outras em inúmeros países.
Nenhum comentário:
Postar um comentário