Aguns sites “conhecidos” colaboram com a falta de segurança, deixando dados de usuarios expostos, algumas vezes através de maneiras ridiculas.
As vezes usando só Engenharia Social, é possivel causar mais danos que um hacker com sólidos conhecimentos
Vou citar alguns exemplos de sites “conhecidos” que têm falhas (na minha opinião) grosseiras.
Não vou dar os nomes para não arranjar dor de cabeça, mais quem for esperto vai saber quais são:
1 – Esse aconteceu há uns 8 meses atrás comigo. No site de um grande jornal de negócios SP, basta você ir até o setor de cadastro, e clicar em alterar cadastro. A única informação solicitada era o nome de acesso OU o CPF, ou seja: bastava escolher o CPF e fazer combinações de números e facilmente você conseguia entrar. depois você mudava o e-mail de contato para um e-mail seu, e depois ………….. e recebia uma senha novinha com dados COMPLETOS de outra pessoa. Essa eu descobri sem querer!!!
Aconteceu comigo, simplesmente porque eles não checavam o CPF. alguém digitou meu cpf com um nome qualquer e tinha cadastro lá.
Enviei e-mail reclamando e não me responderam, mais parece que melhoraram (um pouco) a segurança.
2 – Um GRANDE site de videos online tem uma falha “moderada“. quando você loga nele, e assiste vários videos, você pode usar os botões voltar e avançar do navegador normalmente. se você faz o log out e sair, e outra pessoa usar o botão voltar, ela vai ter acesso a sua ultima página com seu login e pode fazer comentários ou mudar sua senha, etc….
3 – O XXX.br. Quem já teve dominio, sabe a dor de cabeça de ter seus dados exposto para qualquer um………….(boletos falsos são o minimo!)
(Informações como CNPJ/endereço deveriam ser omitidas de consultas simples. Pode não parecer, mas alguém de posse de seu nome completo e seu CPF pode causar muito estrago).
É notório que poucas empresas investem em segurança online.
Nos 3 exemplos acima, uma pessoa sem conhecimentos técnicos teria acesso a dados que deveriam ser sigilosos.
Sinceramente não uso Internet Banking e nem uso cartão de crédito na Net, pois do que adianta seu micro ser bem protegido se o site deixar seus dados em um banco de dados on-line vulneravel a sql injection por exemplo?
Mesmo hoje com o GHDB bem manjado, você ainda descobre falhas incríveis.