O programa Hackers do Bem teve duas vulnerabilidades sérias identificadas e solucionadas na última semana.
A primeira delas expôs o ranking de competição entre os estudantes, enquanto a segunda permitia a modificação de dados cadastrais dos participantes.
De acordo com George Luiz de Freitas Souza, um aluno vinculado ao projeto Hackers do Bem e estudante de cibersegurança, em um depoimento ao CISO Advisor, as vulnerabilidades foram notificadas aos administradores do programa e já estão resolvidas.
A primeira vulnerabilidade expunha o ranking de competição entre os alunos, algo que deveria ser confidencial.
Esse acesso indevido era possível devido a uma falha no código do site do Hackers do Bem.
A segunda vulnerabilidade possibilitava que um atacante alterasse o CPF e o e-mail associados às contas dos alunos.
Essa brecha abria a porta para várias ações maliciosas, incluindo a exclusão e substituição de perfis de usuários, manipulação dos rankings e até a emissão indevida de certificados de conclusão dos módulos do curso.
Souza explica que essas falhas foram descobertas durante uma análise detalhada do código do portal.
Utilizando técnicas de Forced Browsing/Directory Traversal, por exemplo, era viável acessar o ranking inteiro e visualizar dados adicionais dos participantes.
Além disso, a segunda falha também permitia a criação de certificados do curso em nome de terceiros.
Como mencionado, após a notificação por parte do aluno, as vulnerabilidades foram prontamente corrigidas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...