Nomes, endereço, número de celular e do título de eleitor, dentre outras informações ficaram expostos, de acordo com o perfil Insanity Security LAB no Facebook
A Ordem dos Advogados do Brasil teve uma falha em seu sistema de segurança da informação, ocasionando vazamento de dados de advogados e advogadas inscritos no órgão representativo da classe. O registro da falha foi feito pelo perfil Insanity Security LAB no Facebook. De acordo com a postagem, dados pessoais (nome, cpf, endereço, nome dos pais, email, número do título do eleitor e número do telefone fixo/celular) dos profissionais do direito foram expostos.
Até o momento, o Conselho Federal da Ordem dos Advogados do Brasil (CFOAB) não se manifestou formalmente sobre a denúncia. O Brasil tem cerca de 1,3 milhão de advogados com registro na OAB.
Veja a denúncia:
@OAB Nacional – LEAK( CVE-2019-19616: Insecure Direct Object Reference (IDOR) in Xtivia Web Time and Expense )Nós da Insanity Security Lab viemos através deste pronunciamento divulgar uma falha de vazamento de dados utilizando a técnica de IDOR, esta falha permite acesso a dados de cunho sensível sendo eles:• Nome Completo• Nome da mãe e pai• Nome Profissional• Data de nascimento• RG (Número, Data de emissão, Órgão emissor)• CPF• Número do título eleitoral• Cidade eleitoral• Endereço Residencial (Logradouro, Complemento, Numero, Bairro, Cidade, CEP)• Número de Telefone e Celular• E-MailEste LEAK tem o objetivo de mostrar como o sistema da OAB é vulnerável e utilizando técnicas simples, conseguimos dados sigilosos. E mesmo assim, a mesma não se prontificou em arrumar a falha ou dar algum esclarecimento, deixando a falha exposta.Esperamos encarecidamente que a OAB corrija este erro, assim não expondo pessoas inocentes a riscos de uma organização que não corrige nem um simples erro.Como funciona o IDOR: O IDOR se trata de uma vulnerabilidade que ocorre quando um sistema web utiliza uma forma insegura para referenciar objetos e dados a serem retornados ou modificados sem garantir que a pessoa que esteja solicitando tenha o devido nível de acesso para executar tal ação.O IDOR está localizado na página: https://www1.oab.org.br/identid…/ImprimirDadosAdvogado.aspx…Modificando a string id=1000 e você terá acesso a todos os dados de todos os advogados do BRASIL!Uma falha relativamente fácil para ter acesso a tantas coisas em um sistema que deveria ter o mínimo segurança … E o melhor, esta falha foi reportada já a muito tempo! (8 May, 2020) E a OAB não resolveu…Como é de costume, falhas reportadas e não resolvidas são expostas, para assim a empresa tomar providencias…Mas duvido muito que a OAB irá resolver esta falha, só estão preocupados com dinheiro e não com seus advogados.Ass. INSANITY SECURITY LAB
Post original da danúncia: https://www.facebook.com/story.php?story_fbid=162316312092465&id=102667084724055&ref=page_internal
Com informações de https://www.focus.jor.br/ , https://jusdecisum.com.br/ e Insanity Security LAB
Jus Brasil