Lendo a matéria da Folha Online "link Informática" percebi a forma que eles disseram como ocorreu a invasão.. e sinceramente eu fiquei impressionado!
Primeiro: Não houve roubo de informação, ela ja estava a disposição de qualquer pessoa que sabe realizar buscas avançadas dentro de um site "Search" "Buscar" o mecanismo de busca dentro de um website é muito útil claro, porém é também perigoso quando utilizado com malícia. (como ocorreu)
Não estou aqui querendo ser mais aquela história de Script Kid ou bla bla bla.. sabemos o que estamos fazendo.. sabemos o que ocorre no sistema então fizemos um levantamento do conteúdo do website, quanto menor o caminho melhor... faça um teste.. entre no site da anvisa.gov.br e la em buscar digite a informação "Admin" "Adm" "Login" coloque um código de SQL e veja o que o site vai retornar para você.. Pronto.. O Pior links direto.. senhas divulgadas na maior cara de pau.. sem segurança sem nada...
Exemplo?
havia um link: www.anvisa.gov.br/adm/info/***** e as informações que continha na página
Administradores (Login e Senhas)
user 123456 - senha: 123456
Centros
user 00000000000000 - Senha: 123456
user 00000000000000 - Senha: 654321
User 00000000000000 - Senha mi0iro
User 00000000000000 - Senha q1vlap
Obs: fiquei abismado o quanto a segurança das senhas de um site do governo.. a criatividade em criar senha realmente esta muito sofisticada.. pior que uma criança que vai criar senha.. clica nas primeiras teclas que encontra.Proseguindo:
Então isso tudo ja estava no próprio site da Anvisa.. sem restrição a ninguém.. porém foi através desse erro no filtro de busca que verifiquei que o site não estava realizando a busca somente em um banco de dados isolado da intranet do site e sim em todo conteúdo existente dentro do servidor, isso foi a porta de entrada. com comandos de SQL foi chegando até informações valiosas.. dentro do próprio site da Anvisa.
CIBIO
Contato Renato Ramal (3004)
CIBIO:https://www.anvisa.gov.br/********/CIBIO/login.asp
Para saber os logins e senhas Centros e Adminsitradores: https://www.anvisa.gov.br/********/CIBIO/teste.asp
Administrador do catalogo telefonico
http://******/catalogo/login.asp
Login: (Censurado)
Senha: (censurado)
OPA Agora chega a hora em que 62 mil e-mails ficaram comprometidos e podendo ser todos infectados caso eu estivesse pronto para causar uma destruição em massa... infecção com trojan e roubar senhas bancárias.. Maisssss isso não me interessa.. ladrão ja tem muito no Governo.. não queria prejudicar ninguém.. só incomodei porque as pessoas leram meu protesto e essa foi a meta.
Envio da Newsletter
https://www.anvisa.gov.br/intranet/newsletter/formata_news.asp?nome=gecom&senha=***** (censurei a senha)
Olha a quantos e-mails tive acesso e nenhum deles receberam código malicioso.. spam ou algo parecido.. simplesmente receberam um protesto e mais nada.. Isso é crime? rs Crime ter acesso uma informação que ja estava totalmente aberta a quem fosse procurar? claro existiu técnica.. mais foi um desafio divertido que durou apenas 10 minutos de pesquisa dentro do site.. ou seja um levantamento de todo conteúdo.. palavras.. sintaxe.. menus e links.. erros em código fonte.. etc.. etc.."jamais faça detalhe do servidor ou usuários dentro de um codigo fonte" rs
Bom assim aconteceu.. não como a acessoria da anvisa explicou para a Folha Online.
Recordando: (imagina isso se fosse utilizado para infecção) Sorte de vocês.. não sou assim! Conhecimento não é destruição!.. destruir e roubar é prova viva de vandalismo!
Total de cadastros: 61262
Total Boletim eletrônico Novidades do Site:
50396Total
@uol.: 3226
Total @yahoo.:
6821Total @ig.: 3560
Total @terra.: 2932
Total @bol.: 1816
Total @anvisa.: 481
Total @hotmail.: 6393
Total Boletim Técnico SNGPC: 36461
Total @uol.: 2083
Total @yahoo.: 5698Total @ig.: 2440
Total @terra.: 1985Total @bol.: 1143
Total @anvisa.: 189Total @hotmail.: 5124
Total Boletim Eletrônico de Informações sobre Serviços de Saúde: 16208
Total @uol.: 762
Total @yahoo.: 2828
Total @ig.: 703Total @terra.: 825
Total @bol.: 561Total @anvisa.: 96
Total @hotmail.: 2906
Total Boletim eletrônico do Sinavisa: 20784
Total @uol.: 978
Total @yahoo.: 3573
Total @ig.: 994Total @terra.: 1060
Total @bol.: 683Total @anvisa.: 134
Total @hotmail.: 3409
Total Boletim Brasileiro de Avaliação de Tecnologias em Saúde: 11051
Total @uol.: 452
Total @yahoo.: 2005
Total @ig.: 406
Total @terra.: 484
Total @bol.: 340
Total @anvisa.: 48
Total @hotmail.: 2140
Total Boletim do PDVISA: 1138
Total @uol.: 46
Total @yahoo.: 225Total @ig.: 40
Total @terra.: 48Total @bol.: 43
Total @anvisa.: 3Total @hotmail.: 254
Total Boletim Eletrônico Resistência Microbiana em Foco: 5659
Total @uol.: 209
Total @yahoo.: 1095
Total @ig.: 213
Total @terra.: 219
Total @bol.: 183
Total @anvisa.: 21
Total @hotmail.: 1128
