Uma falha de segurança no site do Conselho Federal da Ordem dos Advogados do Brasil (OAB), expôs dados pessoais de advogados de todo o país. Entre as informações estão dados sensíveis como CPF, RG, título eleitoral e endereço residencial.
A falha foi descoberta por pesquisadores de segurança da Insanity Security Lab, conforme post publicado nesta segunda-feira (10) no Facebook. A brecha permite a exibição dos dados de todo o cadastro nacional de advogados pela alteração dos parâmetros de uma URL de consulta. Em 2016, esse cadastro já contava com 1 milhão de registros.
Segundo o especialista Mateus Veras, a falha foi descoberta três meses atrás – a OAB foi informada em 8 de maio. Entretanto, ela continuou sem correção até 9 de agosto. O Insanity Security Lab decidiu publicar sua existência na expectativa de que a OAB corrija o problema.
Bastante conhecida, a falha é registrada como “CVE-2019-19616: Insecure Direct Object Reference (IDOR) in Xtivia Web Time and Expense”. Até esta segunda, a OAB não tinha conhecimento do problema.
Marcos Cabello, vice-presidente da Comissão Especial de Tecnologia da OAB, fez um post no Facebook informando que “o Conselho Federal da Ordem dos Advogados do Brasil, ao tomar conhecimento de noticia indicando vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional, adotou a imediata providência de sua inativação provisória”.
Em nota, o Conselho Federal da OAB se manifestou sobre o caso:
O Conselho Federal da OAB foi notificado sobre o possível vazamento de dados de sua base, por meio de uma vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional. Imediatamente, adotou as providências por meio de sua Gerência de Tecnologia da Informação. As correções necessárias foram imediatamente implementadas e o problema, sanado.
A OAB está comunicando às autoridades o ocorrido, para que sejam procedidas as investigações necessárias.
O Conselho Federal informa ainda que está discutindo um plano de aperfeiçoamento contínuo da segurança dos dados do Cadastro Nacional dos Advogados, a ser implantado em conjunto com a seccionais.
