Os sites de instituições governamentais tem muitas falhas, não é raro vermos problemas de performance e até mesmo indisponibilidade em grandes eventos, como ultimo dia para inscrições em provas, vestibulares, declaração do imposto de renda, etc. Falhas de segurança também são comuns em sites de prefeituras, câmaras e governos.
Nesse post vou mostrar uma falha de segurança descoberta por mim no site da Secretaria da Educação do Estado de São Paulo. É uma falha simples, que, ao menos aparentemente, não compromete a segurança da plataforma em si, mas, se explorada por alguém mal intencionado, pode espalhar noticias falsas.
A vulnerabilidade fica na sessão de vídeos do site, a plataforma embeda os vídeos a partir de um parâmetro inserido direto na url. Vamos ver um exemplo:
Peguemos uma url original da página
http://www.educacao.sp.gov.br/video.php?vid=Pssw3gULprM
Repare que, após a parte em negrito temos uma sequencia alfanumérica, essa sequencia é um código de vídeo do youtube e isso fica claro quando comparamos a url do site da secretaria com a url do vídeo correspondente no youtube:
http://www.youtube.com/watch?v=Pssw3gULprM
Repare novamente que, após a parte em negrito temos o mesmo código de vídeo. Isso nos leva a crer que, se eu pegar qualquer código de vídeo do youtube e inserir na url o vídeo por mim escolhido será embedado no site da Secretaria. Será que funciona?
http://www.educacao.sp.gov.br/video.php?vid=HPptD273QgI
Sim, funciona. Isso quer dizer que, qualquer pessoa, mesmo sem nenhum conhecimento técnico, pode inserir qualquer vídeo na url do site e divulgar como notícia.
Uma outra coisa interessante é que a descrição do vídeo também vem embedada na página da secretaria, da pra fazer um estrago considerável com isso.
Pelo que vi o site é escrito em PHP e usa um cms privado chamado 'A2 Sitebox', desenvolvido pela
A2 Comunicação. A A2 Comunicação tem em sua lista de cases vários jobs para o Governo do Estado de SP. Fazendo uma rápida busca no Google por 'a2comunicacao psdb' vemos que as ligações da agencia com os tucanos vão pra além do site dos jobs para o governo.
No site do
Bruno Covas, por exemplo, tem uma mensagem de "Bom 2011" para Angelo Perosa e Lilian Perosa da A2 Comunicação.
Parece que eles fizeram tbm uma versão anterior do
tucano.org.br (site do psdb).
Tem RT do
@PSDBMooca em alguns tuites deles.
E eles doaram grana pra campanha de
Edson Aparecido, deputado federal pelo PSDB
Bom, como não sou jornalista investigativo vou me limitar a parte técnica do site e da plataforma vulnerável, só achei interessante uma empresa que presta serviços para o governo ter ligações com o partido que a contrata.
Update: A vulnerabilidade foi corrigida, mas a evidencia continua no print.
+-+Congresso+em+Foco.clipular.png)
