opções binarias investing tela de operador de trade cursos para operar day trade tributação day trade clube de investimento chines investe 1 bi na d9 trader esportivo nicash trade investimentos bahrain world trade center escritórioal khalifa investimento spc arquivo planilha de percentual de lucro e prejuizo opções binárias corretoras de opções binárias que aceitam boleto qual maior site de trader investimentos
 

Falhas do Detran-RS exibiram veículos, proprietários e motoristas

Falhas do Detran-RS exibiram veículos, proprietários e motoristas

As falhas foram divulgadas pelo UOL antes que a Procergs tivesse concluído a manutenção do site do DetranRS

Duas falhas na administração de solicitações ao banco de dados do DetranRS, o Departamento Estadual de Trânsito do Rio Grande do Sul, permitiram a visualização de todos os dados de praticamente qualquer pessoa portadora de uma habilitação emitida no estado, assim como os dados de qualquer veículo licenciado lá e de seu proprietário. O Estado tem 5,1 milhões de motoristas e 7,14 milhões de veículos.

As falhas foram descobertas por Jonathan Fonseca, estudante de T.I. do Senac Tech RS e pesquisador de segurança, no dia 19 de janeiro. Jonathan fez um detalhado relatório sobre o assunto e o enviou ao Detran dois dias depois, por meio do formulário de contato existente no site do órgão e para endereços de e-mail publicados no site. Como não obteve resposta, no dia 26 enviou o relatório detalhado à Procergs, empresa estatal de processamento de dados responsável pela manutenção do site.

A empresa agradeceu, respondeu que faria a manutenção e pediu que Fonseca aguardasse contato do assessor de comunicação do DetranRS. Antes que a Procergs ou o Detran anunciassem o término da manutenção do site, um técnico chamado Mateus Gomes informou o problema à mídia. Neste momento, o site ainda está vulnerável informa Fonseca.

Dados disponíveis na falha do DetranRS

A falha, explicou o pesquisador, é um IDOR (Insecure Direct Object Reference) ou “Referência Direta Insegura a um Objeto”, um problema conhecido e bastante simples de resolver, mas que frequentemente passa despercebido dos desenvolvedores nas entregas a clientes. No entanto, é um problema que pode expor grande quantidade de dados a usuários não autorizados. “Essa vulnerabilidade acontece porque o parâmetro que recebe o valor da identidade do condutor faz parte da URL; ele acaba sendo um identificador para a consulta ao banco de dados da instituição, mas não valida corretamente a origem das requisições, ou seja, qualquer pessoa, até mesmo um usuário não-autenticado consegue acessar informações privadas, bastando para isso alterar esse identificador”, explica Fonseca.

“Pode ser que eles não estejam vendo como uma falha mas é sim, porque não tem nenhum tipo de segurança para limitar a pesquisa”, explicou o pesquisador ao CISO Advisor, acrescentando que é possível obter os dados inserindo um número de RG no link de pesquisa. Se o RG existir, o site responderá com uma página exibindo os dados.

Fonte: https://www.cisoadvisor.com.br/falhas-do-detranrs-exibiram-veiculos-proprietarios-e-motoristas/

Its main activities are health insurance, the provision of health services and assistance to the elderly and young people with disabilities, health counselling and the treatment of chronic diseases. viagra online Sanitas actively participates with volunteer programs and social actions, such as the green corridor Nador-Madrid, health aid in Nador, and Sanitas Smile, promoting the health of its employees.