Neste sábado, 09, o portal da Secretaria da Fazenda do Estado de Minas Gerais foi invadido por hacker, que publicou no portal Pastebin. São informações sobre comissão, composição de coligação, cargo de mesa, cargo de coligação, dependente, despacho, entre outras. A invasão foi intitulada By By Receita, assinada pelo hacker @DemonSad, o mesmo autor que invadiu o portal do MEC, também nesse sábado, explorando o banco de dados do Ministério da Educação e Cultura, publicado no site do Privatebin.com.
“Em ambos os casos, o invasor pode manipular os dados, alterar os trigers e bagunçar os dados que são disparados. Uma vez que o código do triger é compilado com usuários com permissões elevadas, isso faz com que suas alterações fiquem registradas em log da base de dados e não da aplicação. E o correlacionamento será difícil de ser feito”, explica André Johnny Araújo Ferreira, analista de segurança e especialista em banco de dados.
“Mesmo sendo informações da estrutura de banco de dados, não tendo uma informação diretamente de pessoas, cabe um alerta porque com aquelas informações apresentadas dá para saber como está estruturado o ambiente. Uma pessoa com visão e conhecimento de um especialista pode saber como capturar o conteúdo. Portanto, é possível identificar o banco de dados, se é um SQL, por exemplo. E, dependendo da versão, se não são realizados os updates necessários, automaticamente é possível fazer algum tipo de exploração e ter acesso”, comenta Alex Amorim, CISO e DPO.
Amorim complementa: “se eu já sei exatamente como está a estrutura de banco de dados é muito mais simples formar uma query para capturar aquele tipo de informação. Mesmo não sendo vazamento de informações de pessoas, nesse caso específico, é possível saber como atacar e ser mais assertivo no roubo de dados, basta descobrir uma vulnerabilidade e ter acesso ao Banco de Dados para extrair todos os tipo de informações armazenadas no ambiente”.
Por isso, Amorim recomenda alguns pontos de atenção. “Primeiro, quando for estruturar uma aplicação, evitar comentários de usuários no site. O segundo é garantir que o banco de dados esteja nas últimas versões de atualizações, caso não esteja é um problema. Por último, garantir que não seja possível acessar base de dados através da internet”.
A Security Report procurou a Secretaria da Fazenda de Minas Gerais e o MEC e até o fechamento desta matéria não obteve retorno.