Link direciona para estrutura interna. Foto: flickr.com/kliefi
Uma falha no site para clientes da plataforma Smiles chamou a atenção de um leitor do Baguete nesta terça-feira, 3. Ao tentar ar a área para clientes, o bacharel em Sistema de Informação, José Alencar Philereno percebeu que havia sido encaminhado para uma área interna e restrita de uma aplicação da Oracle.
A área corresponde a estrutura interna do Oracle Fusion Middleware, uma plataforma de aplicativos de negócios ágeis da Oracle.
Se trata de um middleware que atua com arquitetura distribuída, onde múltiplos processos cooperam num conjunto de máquinas interagindo através de uma infraestrutura de rede para ar e simplicar soluções distribuídas, complexas e interoperáveis que agregam grande valor de negócio.
Procuradar pelo Baguete, ambas empresas preferiram não se pronunciar. Até o fechamento dessa matéria, o o estava disponível para ar através do link.
A reportagem do Baguete conversou com o professor Avelino Zorzo, docente da Faculdade de Informática da PUC-RS, especializado na área de segurança e confiabilidade de sistemas.
Zorzo acredita que se trata de um erro de configuração do sistema online, que, ao invés do link direcionar para a página correta, acaba mostrando uma página da infraestrutura do sistema.
“Pelo que observei parece ser um problema de configuração. Muitas vezes as pessoas instalam alguns serviços, que chegam pré-configurados, padronizando alguns redirecionamentos.” comenta o docente, afirmando que é preciso ter atenção quanto a isso, e sempre lembrar de reconfigurar o sistema.
“Na ocasião, pode ser que eles tenham instalados esse Middleware e não ter configurado direito, redirecionando pra aplicação da infraestrutura”, comenta.
O professor alerta para a possibilidade de vulnerabilidade que esse erro pode causar.
“A premissa de segurança para qualquer sistema é que não se e informação alguma para o público geral. Quanto mais informações você rea para um possível atacante, maior será a provabilidade do sistema ser infringido, provocando um prejuizo sem precedentes para a organização”, afirma Zorzo.
O especialista em segurança de sistemas ainda dá algumas dicas para as empresas evitarem tais exposições.
Uma delas é verificar quais informações uma aplicação web pré-estabelece, eliminando, caso elas existam. Uma segunda medida é verificar se não há nenhuma vulnerabilidade nos sistemas disponíveis na web, utilizando ferramentas de testes de penetração, como o Zap da Owast. A terceira, e talvez a mais fundamental, é contar sempre com um engenheiro de segurança para a instalação e aplicação de sistemas de infraestrutura.
A empresa de redes de fidelidade de clientes Smiles, controlada pela companhia aérea Gol, contou com um lucro líquido de 78,3 milhões de reais para o primeiro trimestre deste ano, mais que duas vezes o resultado positivo de 29,8 milhões obtido um ano antes.. O número de participantes nos programas de fidelidade da empresa é de 9,86 milhões.
Felipe Nogueira 3m183a
Editor de vídeo