Publicidade
Publicidade
30/03/2001
-
17h20
FRANCISCO MADUREIRA
Coordenador de Informática Online
Uma falha na programação da linguagem ASP, utilizada no sistema de segurança de alguns sites de vendas pela internet, permite que um internauta mal-intencionado invada bancos de dados e consiga qualquer informação sobre seus clientes, inclusive o número de seus cartões de crédito.
A falha permite ao hacker entrar no sistema sem precisar conhecer nomes de usuários ou suas senhas. Basta digitar um código simples de programação para burlar a necessidade da senha e saber dados sobre o primeiro usuário que for encontrado nos bancos de dados do site.
Caso o banco de dados do site possua informações como número do CPF ou de cartão de crédito, o hacker poderia utilizar os dados de outra pessoa para fazer compras em qualquer site de comércio eletrônico.
Como grande parte dos internautas usa a mesma senha do provedor para se cadastrar em sites de comércio eletrônico, também é perfeitamente possível que o hacker veja sua conta de e-mail e até acesse a internet por seu provedor, sem pagar mensalidade.
Além de lojas virtuais, o hacker que descobrir o código pode entrar em sites de busca e até contas de e-mails de webmails na internet que usem a linguagem ASP.
O problema é que, sem um código de proteção, o formulário de nome de usuário e senha entende o texto digitado como um comando ASP e não como um nome próprio. Assim, em vez de procurar no banco de usuários pelo nome digitado, ele executa um comando que torna a senha desnecessária.
No caso das páginas de administração de sites, a falha é bem mais perigosa. É possível, por exemplo, ter acesso a toda a estrutura do site, inclusive os dados cadastrais dos usuários.
O programador Carlos Alberto Bueno (www.hacker-info.com.br) alertou sobre a falha que permite acessar o cadastro de usuários de alguns sites. Ele conseguiu ter acesso a dados cadastrais de mais de 62 mil clientes de uma grande loja virtual, entre eles: número do cartão de crédito, e-mail, senha no site e até o número do manequim de vários compradores.
"É um problema sério", diz a gerente de lojas paulistana Marly Aparecida de Sant Anna, usuária de um dos sites. Ela compra bastante pela internet, mas se diz amedrontada com a possibilidade de ter seus dados expostos.
"Isso é delicado porque não depende só do usuário, mas também dos programadores, que precisam desenvolver processos de navegação mais seguros", diz a internauta.
Vale lembrar que as páginas da Folha Online não utilizam a linguagem ASP.
Antigo problema
Especialistas de segurança de grandes empresas de informática revelam, no entanto, que o problema é velho conhecido. "Isso é uma falha de programação do site. Nos próprios guias de segurança da Microsoft eles recomendam cuidados com os formulários de senhas", diz um analista que preferiu não se identificar.
O cadastro de alunos de pós-graduação da Universidade Federal do Rio Grande do Sul, por exemplo, é um dos que pode ser invadido, segundo Bueno. Mas, ao que parece, o site já recebeu outros avisos: "Há oito meses já enviei um e-mail para eles comunicando o problema", disse o analista.
Ele afirma que burlar a senha é o menor problema. Um hacker poderia, por exemplo, digitar um comando e mudar tudo no banco de dados. "Até vírus ele pode colocar lá", diz.
Falha na linguagem ASP abre dados de sites
Publicidade
Coordenador de Informática Online
Uma falha na programação da linguagem ASP, utilizada no sistema de segurança de alguns sites de vendas pela internet, permite que um internauta mal-intencionado invada bancos de dados e consiga qualquer informação sobre seus clientes, inclusive o número de seus cartões de crédito.
A falha permite ao hacker entrar no sistema sem precisar conhecer nomes de usuários ou suas senhas. Basta digitar um código simples de programação para burlar a necessidade da senha e saber dados sobre o primeiro usuário que for encontrado nos bancos de dados do site.
Caso o banco de dados do site possua informações como número do CPF ou de cartão de crédito, o hacker poderia utilizar os dados de outra pessoa para fazer compras em qualquer site de comércio eletrônico.
Como grande parte dos internautas usa a mesma senha do provedor para se cadastrar em sites de comércio eletrônico, também é perfeitamente possível que o hacker veja sua conta de e-mail e até acesse a internet por seu provedor, sem pagar mensalidade.
Além de lojas virtuais, o hacker que descobrir o código pode entrar em sites de busca e até contas de e-mails de webmails na internet que usem a linguagem ASP.
O problema é que, sem um código de proteção, o formulário de nome de usuário e senha entende o texto digitado como um comando ASP e não como um nome próprio. Assim, em vez de procurar no banco de usuários pelo nome digitado, ele executa um comando que torna a senha desnecessária.
No caso das páginas de administração de sites, a falha é bem mais perigosa. É possível, por exemplo, ter acesso a toda a estrutura do site, inclusive os dados cadastrais dos usuários.
O programador Carlos Alberto Bueno (www.hacker-info.com.br) alertou sobre a falha que permite acessar o cadastro de usuários de alguns sites. Ele conseguiu ter acesso a dados cadastrais de mais de 62 mil clientes de uma grande loja virtual, entre eles: número do cartão de crédito, e-mail, senha no site e até o número do manequim de vários compradores.
"É um problema sério", diz a gerente de lojas paulistana Marly Aparecida de Sant Anna, usuária de um dos sites. Ela compra bastante pela internet, mas se diz amedrontada com a possibilidade de ter seus dados expostos.
"Isso é delicado porque não depende só do usuário, mas também dos programadores, que precisam desenvolver processos de navegação mais seguros", diz a internauta.
Vale lembrar que as páginas da Folha Online não utilizam a linguagem ASP.
Antigo problema
Especialistas de segurança de grandes empresas de informática revelam, no entanto, que o problema é velho conhecido. "Isso é uma falha de programação do site. Nos próprios guias de segurança da Microsoft eles recomendam cuidados com os formulários de senhas", diz um analista que preferiu não se identificar.
O cadastro de alunos de pós-graduação da Universidade Federal do Rio Grande do Sul, por exemplo, é um dos que pode ser invadido, segundo Bueno. Mas, ao que parece, o site já recebeu outros avisos: "Há oito meses já enviei um e-mail para eles comunicando o problema", disse o analista.
Ele afirma que burlar a senha é o menor problema. Um hacker poderia, por exemplo, digitar um comando e mudar tudo no banco de dados. "Até vírus ele pode colocar lá", diz.
Publicidade
As Últimas que Você não Leu
Publicidade
+ LidasÍndice
- Novo acelerador de partículas brasileiro deve ficar pronto até 2018
- Robôs que fazem sexo ficam mais reais e até já respondem a carícias
- Maratona hacker da ONU premia app que conecta médico a pacientes do SUS
- Confira lista de feeds do site da Folha
- Facebook e Google colaboram para combater notícias falsas na França
+ Comentadas
