Falha de segurança em sistemas

Pizza, pizza...

Pizza, pizza...

A empresa  Domino’s Pizza, talvez a mais antiga dos EUA, com valor de mercado de  US$1.4 bilhões e 8700 pontos de venda no mundo todo, foi surpreendida recentemente por uma “promoção” em que foram distribuidas 11000 pizzas médias  gratuitamente, em Cincinatti (Ohio) e região. A origem do problema: um cupom de oferta online, de uma promoção que deveria ter ido ao ar em Dezembro de 2008, mas que não havia sido aprovada e estava na “fila de espera” para ser lançada.

O cupom da promoção que não foi lançada certamente continuou no diretório do website da empresa, só que não estava visível. Algum garoto mais esperto descobriu que se digitasse a palavra “bailout”  na janela de entrada de pedidos (esta palavra ficou muito em moda recentemente, com o socorro de bilhões de dólares que o governo estadunidense prestou ao seu  sistema financeiro) , o cupom aparecia no site e podia ser usado para ganhar pizzas gratuitamente. Dai para a noticia se espalhar pela região foi questão de um piscar de olhos e antes que o pessoal de TI da Domino’s pudesse perceber, o estrago já estava feito. Segundo a notícia, somente uma rede de 14  lojas na região de Cincinatti entregou 600 pizzas em um período curto, por conta desse cupom. Vejam aqui a notícia publicada  no sitio The Risk Factor, da IEEE Spectrum Online.

O que interessa aqui, do ponto de vista desta postagem, é a questão do preparo técnico dos profissionais da área, para lidar com a questão do risco e sua materialização. Os erros são inconcebivelmente infantis e conhecidos, inaceitáveis para quem tem alguma formação na área e procura pelo menos se manter informado. O caso acima, por exemplo, pode ter sido causado pelo descuido comum que é o de usar o mesmo local (diretório)  no servidor para desenvolvimento e publicação de sitios. Ou seja, fica tudo no mesmo lugar, sujeito a erros de todo tipo, inclusive o de publicar uma versão mais antiga do sitio, se não houver um controle de versões muito bem feito. Outro descuido muito comum e manjado demais é o de não usar um filtro eficiente para consultas SQL, que podem facilmente ser injetadas (SQL Injection) em uma janela de busca que fica disponivel nos sitios, e através da qual é possivel até apagar todo um BD usando o comando delete da SQL. Imaginem isso acontecendo em um sitio de um banco, apagando toda a tabela de senhas e login, etc.

Com uma frequência acima do que seria razoável, noticias como essa ai aparecem rodando na web. O sitio The Risk Factor, apontado acima, tem o objetivo de mostrar os riscos e a sua materialização, relacionados ao uso da TI. Outro sitio muito bom sobre os riscos, é o do pesquisador Peter Neumann, ele tem uma parte do sitio denominada RISKS, onde ficam relatados os principais riscos e problemas já acontecidos pelo uso da TI. Espero contribuições dos leitores sobre outros casos conhecidos, mandem ai…

(este artigo foi escrito por zeluisbraga, e postado no meu blog zeluisbraga . wordpress . com) (this post is authored by zeluisbraga, published on zeluisbraga . wordpress . com)

Anúncios

Consultor Independente, Treinamento Empresarial, Gerência de Projetos, Engenharia de Requisitos de Software, Inovação. Professor Titular Aposentado, Departamento de Informática, Universidade Federal de Viçosa, Minas Gerais, Brasil. Doutor em Informática, PUC-Rio, 1990. Pós-Doutoramento, University of Florida, 1998-1999

Marcado com: , , ,
Publicado em Educação, Engenharia de Software, Social
Um comentário em “Falha de segurança em sistemas
  1. railer disse:

    realmente inacreditável. talvez do fato de que hoje em dia a atenção não é muito direcionada a alguma coisa, sendo mais supercial e dividida (internet, tv, telefone, celular, ipod, rádio…).

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: