zeluisbraga

Pizza, pizza...

A empresa  Domino’s Pizza, talvez a mais antiga dos EUA, com valor de mercado de  US$1.4 bilhões e 8700 pontos de venda no mundo todo, foi surpreendida recentemente por uma “promoção” em que foram distribuidas 11000 pizzas médias  gratuitamente, em Cincinatti (Ohio) e região. A origem do problema: um cupom de oferta online, de uma promoção que deveria ter ido ao ar em Dezembro de 2008, mas que não havia sido aprovada e estava na “fila de espera” para ser lançada.

O cupom da promoção que não foi lançada certamente continuou no diretório do website da empresa, só que não estava visível. Algum garoto mais esperto descobriu que se digitasse a palavra “bailout”  na janela de entrada de pedidos (esta palavra ficou muito em moda recentemente, com o socorro de bilhões de dólares que o governo estadunidense prestou ao seu  sistema financeiro) , o cupom aparecia no site e podia ser usado para ganhar pizzas gratuitamente. Dai para a noticia se espalhar pela região foi questão de um piscar de olhos e antes que o pessoal de TI da Domino’s pudesse perceber, o estrago já estava feito. Segundo a notícia, somente uma rede de 14  lojas na região de Cincinatti entregou 600 pizzas em um período curto, por conta desse cupom. Vejam aqui a notícia publicada  no sitio The Risk Factor, da IEEE Spectrum Online.

O que interessa aqui, do ponto de vista desta postagem, é a questão do preparo técnico dos profissionais da área, para lidar com a questão do risco e sua materialização. Os erros são inconcebivelmente infantis e conhecidos, inaceitáveis para quem tem alguma formação na área e procura pelo menos se manter informado. O caso acima, por exemplo, pode ter sido causado pelo descuido comum que é o de usar o mesmo local (diretório)  no servidor para desenvolvimento e publicação de sitios. Ou seja, fica tudo no mesmo lugar, sujeito a erros de todo tipo, inclusive o de publicar uma versão mais antiga do sitio, se não houver um controle de versões muito bem feito. Outro descuido muito comum e manjado demais é o de não usar um filtro eficiente para consultas SQL, que podem facilmente ser injetadas (SQL Injection) em uma janela de busca que fica disponivel nos sitios, e através da qual é possivel até apagar todo um BD usando o comando delete da SQL. Imaginem isso acontecendo em um sitio de um banco, apagando toda a tabela de senhas e login, etc.

Com uma frequência acima do que seria razoável, noticias como essa ai aparecem rodando na web. O sitio The Risk Factor, apontado acima, tem o objetivo de mostrar os riscos e a sua materialização, relacionados ao uso da TI. Outro sitio muito bom sobre os riscos, é o do pesquisador Peter Neumann, ele tem uma parte do sitio denominada RISKS, onde ficam relatados os principais riscos e problemas já acontecidos pelo uso da TI. Espero contribuições dos leitores sobre outros casos conhecidos, mandem ai…

(este artigo foi escrito por zeluisbraga, e postado no meu blog zeluisbraga . wordpress . com) (this post is authored by zeluisbraga, published on zeluisbraga . wordpress . com)