Programador invade site da Telefônica

Compartilhe esta postagem:

O programador Vinicius Camacho Pinto, 28 anos, também conhecido como KMax, foi indiciado na noite da última quarta-feira dia 19/08/09 por invadir e divulgar informações do banco de dados de clientes da Telefônica.

A polícia apreendeu computadores e equipamentos na casa de Vinicius no bairro de Itapevi, São Paulo mas Como não houve flagrante, a prisão não foi efetuada. Em nota oficial, a Telefônica apenas disse que “denunciou o crime à polícia e prestou as informações necessárias às autoridades”. Segundo o Deic, o programador admitiu ter publicado os dados pessoais dos usuários em uma página na internet. Se for considerado culpado, ele pode se condenado a quatro anos de prisão e pagamento de multa.

Em entrevista à Info Online, K-Max falou sobre a vulnerabilidade que localizou no site da empresa, e explicou como foi fácil explorá-la.

INFO: Quando você descobriu o problema de segurança da Telefônica? Passou muito tempo estudando a falha?
K-Max: Foi em junho, não lembro exatamente o dia. Levei apenas alguns minutos que foram o suficiente para perceber a gravidade da falha e qual tipo de acesso era possível através dela.

INFO: Você pode detalhar a vulnerabilidade encontrada?
K-Max: Sim. O site estava vulnerável à SQL Injection, falha que permite que alguém possa ganhar acesso total ao banco de dados, usando nada além do que o próprio navegador. A vulnerabilidade não existia apenas em um único ponto da página, mas em várias outras partes.
É bom citar que havia fortes indícios de que o problema existia há, pelo menos, 3 anos. Já que o “header http Last-Modified” informava a data em que os arquivos do site foram modificados pela última vez, em 2006.
Isso me faz crer que aquele subsite passou 3 anos abandonado.

INFO: E você teve que desenvolver alguma ferramenta para ganhar o acesso?
K-Max: Para notar a vulnerabilidade, não usei nada além do que um navegador. Mas criei um pequeno script PHP pra conseguir criar a prova de conceito que mostrava que os dados de mais de um milhão de clientes Speedy estavam expostos para o mundo.

INFO: E a história de que os dados já estavam parcialmente publicados na rede?
K-Max: Existe uma grande confusão aí. A verdade é: a falha no site da Telefônica era grave o bastante pra expor os dados completos dos clientes do Speedy, mas o script que eu criei não divulgava nenhum dado sigiloso de forma completa. Primeiro porque você poderia apenas buscar um cliente por vez. Segundo porque você só poderia buscar um cliente já sabendo de antemão algum dado dele. Terceiro que esses dados mostrados pelo script eram parciais. Mas, curiosamente, todos esses cuidados éticos que tive foram misteriosamente omitidos no inquérito policial. Por que será?

INFO: Então você diz que eles omitiram essa informação?
K-Max: Sim. Isso é grave o bastante pra inverter completamente os papéis. Eu criei um script que denunciava e provava a existência de uma falha que era da Telefônica, e não minha. O inquérito entende que eu maliciosamente roubei esses dados e estava expondo-os de forma completa. Há uma completa inversão dos fatos.

INFO: E você tentou entrar em contato com a Telefônica para apresentar a falha?
K-Max: Eu pensei em entrar, mas desisti. Achei mais efetivo criar o site e informar a mídia do problema. Por mais que alguém possa criticar essa minha escolha, um fato continua inegável: graças a essa exposição pela imprensa, a falha foi sanada em pouco mais de 24 horas. Será que a Telefônica levaria o problema tão a sério se não fosse exposta e pressionada pela mídia?

INFO: Você chegou a receber alguma notificação da empresa antes da ação da polícia?
K-Max: Não. A empresa parece não gostar de diálogo. Não houve contato algum antes de a polícia aparecer em minha casa, levando meus computadores e até livros.

INFO: Você pode passar a lista completa do que eles levaram?
K-Max: Eu não sei exatamente o que levaram. Mas além do meu próprio computador e laptop, levaram os computadores dos meus familiares que também estavam em minha casa. Sem contar com celular, CDs, pendrives e livros.

INFO: Você sabe quais são os próximos passos do inquérito?
K-Max: Não, além da apreensão e do interrogatório, nada mais me foi dito. Meu advogado está tomando conhecimento de tudo ainda.

INFO: Sobre a história das comunidades roubadas no orkut, acha que isso pode te prejudicar?
K-Max: Não creio. Acredito que isso foi trazido à tona apenas pra dar mais força ao inquérito. O ocorrido foi em 2005 e nenhum dos donos de comunidade pensou em me processar, até porque cumpri minha palavra e devolvi as comunidades após o Google corrigir a vulnerabilidade no orkut. Se os próprios donos das comunidades não se sentiram lesados, porque a polícia está preocupada com isso agora, quase cinco anos depois? Acho lamentável e preocupante ver que uma ação de boa fé possa ser distorcida e deturpada ao ponto de transformar alguém bem intencionado em um criminoso.

Fonte: RafaelDesigner.com.br.

ACESSE TAMBÉM:
RECADO DIGITAL – Seu site de recados para suas redes sociais na web.

Compartilhe esta postagem:

Sobre o autor | Website

Blogueiro há 11 anos da área de Educação e Concursos, Jornalista Técnico (Registro Nº 1102-MA - Superintendência Regional do Trabalho e Emprego do Maranhão - SRTE-MA).

Para enviar seu comentário, preencha os campos abaixo:

Deixe uma resposta

*

1 Comentário

  1. Unknown disse:

    É, Castro. Pra você ver. Quanto deputado por aí fazendo roubalheira e uma pessoa que descobre uma falha de segurança no banco de dados da Telefonica corre o risco de ir pra cadeia.
    Absurdo.
    Cancelei minha assinatura do Speedy por causa disso.