DATA DA PUBLICAÇÃO 21/12/2016 | Tecnologia
Anatel corrige falha que deixava senha exposta no navegador
A Agência Nacional de Telecomunicações (Anatel) corrigiu na sexta-feira (16) um erro no portal Focus, que registra reclamações de consumidores. A falha, ainda que de baixa gravidade, deixada as senhas dos usuários registradas no histórico do navegador de internet.
O problema acontecia por causa um de redirecionamento feito pelo site após o acesso ao portal com a digitação do CPF e da senha. Em vez de simplesmente fazer o "login" do internauta, o portal redirecionava o navegador para outro endereço, deixando o CPF e a senha visiíveis na barra de endereços, que por sua vez era registrada no histórico do navegador web.
Na linguagem técnica, o problema se dava devido ao uso do método de acesso "GET" em vez do método "POST".
O erro foi encontrado pelo professor Emerson Ribeiro de Mello, que leciona sobre telecomunicações no Instituto Federal de Santa Catarina. Ele registrou o caso no próprio sistema Focus da Anatel no dia 10 de outubro, mas procurou a coluna Segurança Digital no dia 2 de dezembro depois de quase dois meses sem receber um parecer da Anatel.
O professor conta que descobriu o problema no fim de setembro. "Entrei no sistema para registrar uma reclamação e percebi que as credenciais estavam em claro na barra de endereços", relata.
Procurada pelo G1 no dia 7 de dezembro, a Anatel reconheceu o problema e prometeu que o mesmo seria corrigido até o dia 16 de dezembro. "O sistema realmente está fazendo a transição da senha de forma incorreta – pelo método GET, conforme reportado", reconheceu a agência.
A Anatel confirmou que o problema foi solucionado. Nesta segunda-feira (19), a página já não apresentava o problema.
O professor Mello aponta que, além de deixar a senha exposta no navegador do próprio internauta, a prática inadequada de usar o "GET" fazia a senha também ser gravada no arquivo ("log") que registra acessos ao servidor web da própria Anatel. Segundo o Marco Civil da Internet, a manutenção desses registros é obrigatória.
"Sendo assim, bastaria um atacante ter acesso aos logs [registros] do servidor web da Anatel para conseguir descobrir o CPF e senha dos usuários", explica o professor.
As informações de acessos POST não são totalmente retidas nesses registros e no histórico do navegador justamente para não expor senhas e outras informações sensíveis. É por isso que sites devem requisitar sempre o uso de método POST do navegador nesses casos.
Usuários que acessaram o portal Focus da Anatel devem procurar esses acessos no histórico do navegador de internet e eliminá-los. Do contrário, os acessos e as senhas poderão ser vistos por outros usuários do mesmo computador ou até por uma praga digital que contamine o computador no futuro, já que ela poderá ler o histórico do navegador para pegar o CPF e a senha da vítima já no momento da contaminação.
Sistema reformulado
Na questão do banco de dados, a Anatel destacou que reformulou o seu sistema em julho de 2016, adotando para o armazenamento das senhas a fórmula SHA-256 com a técnica de "salt", que garante uma proteção extra significativa no caso de acesso indevido ao banco de dados.
"Atestamos que as senhas estão armazenadas no ambiente da Agência de forma extremamente segura, considerando o altíssimo grau de eficiência do algoritmo criptográfico. Ainda, mesmo na hipótese de invasão do ambiente computacional da agência com exposição da base de dados, o algoritmo atual garante que as senhas armazenadas não seriam reversíveis", afirmou a agência.
O problema acontecia por causa um de redirecionamento feito pelo site após o acesso ao portal com a digitação do CPF e da senha. Em vez de simplesmente fazer o "login" do internauta, o portal redirecionava o navegador para outro endereço, deixando o CPF e a senha visiíveis na barra de endereços, que por sua vez era registrada no histórico do navegador web.
Na linguagem técnica, o problema se dava devido ao uso do método de acesso "GET" em vez do método "POST".
O erro foi encontrado pelo professor Emerson Ribeiro de Mello, que leciona sobre telecomunicações no Instituto Federal de Santa Catarina. Ele registrou o caso no próprio sistema Focus da Anatel no dia 10 de outubro, mas procurou a coluna Segurança Digital no dia 2 de dezembro depois de quase dois meses sem receber um parecer da Anatel.
O professor conta que descobriu o problema no fim de setembro. "Entrei no sistema para registrar uma reclamação e percebi que as credenciais estavam em claro na barra de endereços", relata.
Procurada pelo G1 no dia 7 de dezembro, a Anatel reconheceu o problema e prometeu que o mesmo seria corrigido até o dia 16 de dezembro. "O sistema realmente está fazendo a transição da senha de forma incorreta – pelo método GET, conforme reportado", reconheceu a agência.
A Anatel confirmou que o problema foi solucionado. Nesta segunda-feira (19), a página já não apresentava o problema.
O professor Mello aponta que, além de deixar a senha exposta no navegador do próprio internauta, a prática inadequada de usar o "GET" fazia a senha também ser gravada no arquivo ("log") que registra acessos ao servidor web da própria Anatel. Segundo o Marco Civil da Internet, a manutenção desses registros é obrigatória.
"Sendo assim, bastaria um atacante ter acesso aos logs [registros] do servidor web da Anatel para conseguir descobrir o CPF e senha dos usuários", explica o professor.
As informações de acessos POST não são totalmente retidas nesses registros e no histórico do navegador justamente para não expor senhas e outras informações sensíveis. É por isso que sites devem requisitar sempre o uso de método POST do navegador nesses casos.
Usuários que acessaram o portal Focus da Anatel devem procurar esses acessos no histórico do navegador de internet e eliminá-los. Do contrário, os acessos e as senhas poderão ser vistos por outros usuários do mesmo computador ou até por uma praga digital que contamine o computador no futuro, já que ela poderá ler o histórico do navegador para pegar o CPF e a senha da vítima já no momento da contaminação.
Sistema reformulado
Na questão do banco de dados, a Anatel destacou que reformulou o seu sistema em julho de 2016, adotando para o armazenamento das senhas a fórmula SHA-256 com a técnica de "salt", que garante uma proteção extra significativa no caso de acesso indevido ao banco de dados.
"Atestamos que as senhas estão armazenadas no ambiente da Agência de forma extremamente segura, considerando o altíssimo grau de eficiência do algoritmo criptográfico. Ainda, mesmo na hipótese de invasão do ambiente computacional da agência com exposição da base de dados, o algoritmo atual garante que as senhas armazenadas não seriam reversíveis", afirmou a agência.
Assine nosso Feed RSSAs últimas | Tecnologia
21/09/2018 | Brasileiro fica quase 3 horas por dia assistindo a vídeos online; aumento foi de 135% em 4 anos
19/09/2018 | Sony anuncia PlayStation Classic, versão mini do PS1 com 20 jogos na memória
18/09/2018 | A curiosa razão por que o relógio sempre marca 9:41 nos anúncios da Apple
As mais lidas de Tecnologia
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda