Hacker invade site da Taurus Armas e vaza dados sensíveis de 40 mil clientes

[tudocelular.com]

Fabricante de armas Taurus sofre ataque que expõem dados de 40 mil clientes.

Clique aqui para ler a notícia completa.

[ShrekRussiaBR]

INTERESSANTE...

Mas olha só que interessante...
"Não se trata, portanto, de um cadastro de clientes, apenas um cadastro livre, para uso interno da companhia"

E outra coisa que temos ficar atento:
"O responsável pelo vazamento disse ao portal que conseguiu captar os dados ao alterar o ID de usuário na URL, prática conhecida como %u201Cimproper access control” (CWE-284), que permite aos invasores comprometer a segurança de domínios ou softwares ao obter privilégios ou executar comandos."

Podemos concluir que alguém de dentro da empresa "vendeu" o ID para invadir e vazar os dados dos clientes em que consta o nome completo, telefone, e-mail, endereço, CPF/CNPJ. E o documento com o vazamento foi obtido pelo portal TecMundo por uma fonte anônima... Nada mal a "esquerda" agindo de forma infantil.... Enfim... está ficando cada vez mais comuns essas "vendas" de login/senha para "invadir"...

Tá de Brincadeira esse povo.... Já não há mais Hacker como antigamente!

[LucasVS]

INTERESSANTE...

Mas olha só que interessante...
"Não se trata, portanto, de um cadastro de clientes, apenas um cadastro livre, para uso interno da companhia"

E outra coisa que temos ficar atento:
"O responsável pelo vazamento disse ao portal que conseguiu captar os dados ao alterar o ID de usuário na URL, prática conhecida como %u201Cimproper access control? (CWE-284), que permite aos invasores comprometer a segurança de domínios ou softwares ao obter privilégios ou executar comandos."

Podemos concluir que alguém de dentro da empresa "vendeu" o ID para invadir e vazar os dados dos clientes em que consta o nome completo, telefone, e-mail, endereço, CPF/CNPJ. E o documento com o vazamento foi obtido pelo portal TecMundo por uma fonte anônima... Nada mal a "esquerda" agindo de forma infantil.... Enfim... está ficando cada vez mais comuns essas "vendas" de login/senha para "invadir"...

Tá de Brincadeira esse povo.... Já não há mais Hacker como antigamente!

No caso do ID não precisa necessariamente alguém vender. O ID geralmente é gerado sequencialmente, o erro da empresa foi deixar o ID do cliente exposto na URL do site.

[ShrekRussiaBR]

No caso do ID não precisa necessariamente alguém vender. O ID geralmente é gerado sequencialmente, o erro da empresa foi deixar o ID do cliente exposto na URL do site.

Para ter um id que é gerado sequencialmente teria que "quebrar" 16 dígitos da criptografia em hexadecimal. Acho que só seria possível alguém repassar os dados em "nivel" gerencial onde que há acessos a esses dados dos clientes.

[igorfs10]

Pelo que o site falou, deu a entender que você só precisava pegar a url e mudar um número nela para acessar o cadastro de outra pessoa, se for isso é um erro extremamente besta e uma falha enorme principalmente para uma empresa desse porte. Qualquer usuário, até com conhecimento baixo em computação conseguiria os dados facilmente dessa forma.

[Luciano_Prado]

Para ter um id que é gerado sequencialmente teria que "quebrar" 16 dígitos da criptografia em hexadecimal. Acho que só seria possível alguém repassar os dados em "nivel" gerencial onde que há acessos a esses dados dos clientes.

a ID nao estava encriptada.

[Gustavo_Wiegand]

O maior erro nessa matéria é que não existe empresa chamada "Taurus Armas" e sim Forjas Taurus, pois essa empresa não produz exclusivamente armas, tanto que tenho um martela e um machado dessa mesma empresa.