{"id":17101,"date":"2018-09-05T14:56:27","date_gmt":"2018-09-05T17:56:27","guid":{"rendered":"https:\/\/tvtecjundiai.com.br\/news\/?p=17101"},"modified":"2018-09-05T15:08:37","modified_gmt":"2018-09-05T18:08:37","slug":"scpc-foi-avisada-de-vulnerabilidade-afirma-hacker","status":"publish","type":"post","link":"https:\/\/tvtecjundiai.com.br\/news\/2018\/09\/05\/scpc-foi-avisada-de-vulnerabilidade-afirma-hacker\/","title":{"rendered":"SCPC foi avisada de vulnerabilidade, afirma hacker"},"content":{"rendered":"

Em um<\/span>\u00a0post no Twitter feito na noite desta ter\u00e7a-feira (4) pelo hacker Unnamed Leaker (UL) ele afirma ter enviado um e-Mail e um relat\u00f3rio\u00a0\u00e0 Boa Vista SCPC informando sobre vulnerabilidades em um servidor. Isso teria acontecido antes da publica\u00e7\u00e3o de not\u00edcias sobre a exist\u00eancia de um suposto incidente cibern\u00e9tico com um servidor de dados da empresa. UL disse que nessa comunica\u00e7\u00e3o avisou que havia uma vulnerabilidade em uma API (application programming interface) exposta na Internet. Numa esp\u00e9cie de manifesto publicado \u00e0s 19 horas desta ter\u00e7a (4), UL diz \u201ceu avisei a Boa Vista da falha, enviei um e-mail, com um report detalhado, explicando a situa\u00e7\u00e3o, a gravidade dos fatos e eles CAGARAM pra mim, pro meu report, n\u00e3o mandaram sequer um obrigado e pior ainda, N\u00c3O CORRIGIRAM A FALHA!\u201d<\/p>\n

Al\u00e9m do manifesto, UL publicou um endere\u00e7o onde h\u00e1 um arquivo para download. O CiberSecurity<\/a> fez download do arquivo e verificou que ele est\u00e1 no formato CSV, apropriado para importa\u00e7\u00e3o em planilhas e bancos de dados. O conte\u00fado s\u00e3o tr\u00eas milh\u00f5es de registros, contendo os seguintes campos: CEP, CPF, Logradouro, M\u00e3e, Nascimento, N\u00famero,\u00a0 Titular e \u00daltimo Score.<\/p>\n

O Cibersecurity entrou em contato com a assessoria de imprensa da Boa Vista SCPC e enviou um email com o endere\u00e7o do manifesto e do download,\u00a0 solicitando a confirma\u00e7\u00e3o de que 1) houve recebimento do e-mail e relat\u00f3rio de alerta enviado pelo hacker e 2) os dados em download sejam de cadastros do SCPC.<\/p>\n

<\/p>\n

UL diz que a falha foi descoberta depois de ficar sabendo da exist\u00eancia da API e decidido conferir se ela existia e funcionava. \u201cSe h\u00e1 uma API, h\u00e1 um endpoint e se h\u00e1 um endpoint, h\u00e1 um servidor e se h\u00e1 um servidor, h\u00e1 informa\u00e7\u00f5es que podem estar (est\u00e3o!!!) desprotegidas\u201d, disse no documento.<\/p>\n

O que mais o surpreendeu, escreveu no manifesto, \u201cfoi o fato de que nem precisei fazer qualquer ataque contra o servidor, a API estava aberta e com uma simples enumera\u00e7\u00e3o de usu\u00e1rio era poss\u00edvel obter dados de qualquer pessoa, desde que estivesse dispon\u00edvel para pesquisa\u201d.<\/p>\n

H\u00e1 estimativas segundo as quais a Boa Vista SCPC tem cerca de 350 milh\u00f5es de cadastros para consulta. Os cadastros cont\u00eam uma nota de cr\u00e9dito (score) para que analistas concedam cr\u00e9dido ou n\u00e3o \u00e0 pessoa que consta do cadastro. \u201cAp\u00f3s ver que at\u00e9 os fracassados da Fatal Error Crew tinham acesso aos dados\u201d, continua no documento, \u201cdecidi ent\u00e3o tornar p\u00fablico, com envio de evid\u00eancias e tudo mais (para o Tecmundo, tamb\u00e9m) e a Boa Vista continuou negando, agindo como se nada tivesse acontecido\u201d. Fatal Error Crew \u00e9 um grupo hacker que assumiu a autoria por um vazamento de dados de cart\u00f5es da C&A uma semana atr\u00e1s.<\/p>\n

Existe pelo menos uma API publicada como sendo da Boa Vista SCPC. Ela est\u00e1 no Git Hub, contendo c\u00f3digo e documenta\u00e7\u00e3o, no endere\u00e7o https:\/\/github.com\/Artenes\/scpc-boa-vista-api. (Por Paulo Brito)<\/strong><\/em><\/p>\n

Fonte:\u00a0Cibersecurity<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

A Boa Vista SCPC tem cerca de 350 milh\u00f5es de cadastros para consulta<\/p>\n","protected":false},"author":8,"featured_media":17102,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2836,1,2835],"tags":[979,3963,3962,799],"class_list":["post-17101","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-informatica","category-noticias","category-tecnologia","tag-boa-vista-scpc","tag-cibersecurity","tag-invasao","tag-scpc"],"_links":{"self":[{"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/posts\/17101","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/comments?post=17101"}],"version-history":[{"count":2,"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/posts\/17101\/revisions"}],"predecessor-version":[{"id":17105,"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/posts\/17101\/revisions\/17105"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/media\/17102"}],"wp:attachment":[{"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/media?parent=17101"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/categories?post=17101"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tvtecjundiai.com.br\/news\/wp-json\/wp\/v2\/tags?post=17101"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}