Anatel, sra. Privacidade
O negócio é sério. A Anatel, aquele Agência do Governo que regula as telecomunicações, homologa e dá as ordens em tudo que é relacionado a telefonia, incluindo a fiscalização e prestação de um serviço de qualidade para a população brasileira cometeu um erro grave.
Seu sistema de chamados online, que os usuários normalmente usam para reclamar ou pedir status de suas reclamações (principalmente com empresas de telecom), tinha uma falha grave (há quem diga que é a combinação de ASP com IIS, mas o claro é que é falha do desenvolvedor) que deixava público todos os dados dos usuários que solicitaram algum serviço por meio do site da Anatel.
Como era a falha? Simples, o parâmetro era passado pela URL e o número dos chamados sequencial. Bastava alterar na barra de endereços e tinha acesso a dados como CPF, telefone, endereço e o próprio problema do usuário. Assim, nada menos que 7 milhões de chamados expostos são um prato cheio para Spammers de todo o mundo.
Logo que o furo foi descoberto pelo Diego Plentz e relatado no Baguete, a Anatel deixou o sistema em manutenção e está correndo para resolver. No mínimo, cabeças vão voar!
Pior que já abri uns 5 chamados na Anatel, será que tive meus dados explorados?!
Exemplo da falha:
http://sistemas.anatel.gov.br/focus/FaleConosco/MostrarDetalheSolicitacao.asp?idtSolicitacao=1234567 (aqui era só trocar o 1234567 por algum número que existisse no sistema, que o acesso as informações era fácil).
Leave a Reply