A Ordem dos Advogados do Brasil teve uma falha em seu sistema de segurança da informação, ocasionando vazamento de dados de advogados e advogadas inscritos no órgão representativo da classe. O registro da falha foi feito pelo perfil Insanity Security LAB no Facebook. De acordo com a postagem, dados pessoais ( nome, cpf, endereço, nome dos pais, email, número do título do eleitor e número do telefone fixo/celular) dos profissionais do direito foram expostos.
Até o momento, o Conselho Federal da Ordem dos Advogados do Brasil (CFOAB) não se manifestou formalmente sobre a denúncia. O Brasil tem cerca de 1,3 milhão de advogados com registro na OAB.
Veja a denúncia:
@OAB Nacional – LEAK
( CVE-2019-19616: Insecure Direct Object Reference (IDOR) in Xtivia Web Time and Expense )
Nós da Insanity Security Lab viemos através deste pronunciamento divulgar uma falha de vazamento de dados utilizando a técnica de IDOR, esta falha permite acesso a dados de cunho sensível sendo eles:
• Nome Completo
• Nome da mãe e pai
• Nome Profissional
• Data de nascimento
• RG (Número, Data de emissão, Órgão emissor)
• CPF
• Número do título eleitoral
• Cidade eleitoral
• Endereço Residencial (Logradouro, Complemento, Numero, Bairro, Cidade, CEP)
• Número de Telefone e Celular
Este LEAK tem o objetivo de mostrar como o sistema da OAB é vulnerável e utilizando técnicas simples, conseguimos dados sigilosos. E mesmo assim, a mesma não se prontificou em arrumar a falha ou dar algum esclarecimento, deixando a falha exposta.
Esperamos encarecidamente que a OAB corrija este erro, assim não expondo pessoas inocentes a riscos de uma organização que não corrige nem um simples erro.
Como funciona o IDOR: O IDOR se trata de uma vulnerabilidade que ocorre quando um sistema web utiliza uma forma insegura para referenciar objetos e dados a serem retornados ou modificados sem garantir que a pessoa que esteja solicitando tenha o devido nível de acesso para executar tal ação.
O IDOR está localizado na página: https://www1.oab.org.br/identid…/ImprimirDadosAdvogado.aspx…
Modificando a string id=1000 e você terá acesso a todos os dados de todos os advogados do BRASIL!
Uma falha relativamente fácil para ter acesso a tantas coisas em um sistema que deveria ter o mínimo segurança … E o melhor, esta falha foi reportada já a muito tempo! (8 May, 2020) E a OAB não resolveu…
Como é de costume, falhas reportadas e não resolvidas são expostas, para assim a empresa tomar providencias…
Mas duvido muito que a OAB irá resolver esta falha, só estão preocupados com dinheiro e não com seus advogados.
Ass. INSANITY SECURITY LAB
Post original da danúncia: https://www.facebook.com/story.php?story_fbid=162316312092465&id=102667084724055&ref=page_internal
