Falha em site da OAB expõe dados pessoais de advogados

Vulnerabilidade em sistema de cadastro foi a causa do ocorrido. Conselho Federal da OAB informa que está discutindo um plano de aperfeiçoamento contínuo da segurança dos dados

Compartilhar:

Uma falha de segurança no site do Conselho Federal da Ordem dos Advogados do Brasil (OAB), expôs dados pessoais de advogados de todo o país. Entre as informações estão dados sensíveis como CPF, RG, título eleitoral e endereço residencial.

 

A falha foi descoberta por pesquisadores de segurança da Insanity Security Lab, conforme post publicado nesta segunda-feira (10) no Facebook. A brecha permite a exibição dos dados de todo o cadastro nacional de advogados pela alteração dos parâmetros de uma URL de consulta. Em 2016, esse cadastro já contava com 1 milhão de registros.

 

Segundo o especialista Mateus Veras, a falha foi descoberta três meses atrás – a OAB foi informada em 8 de maio. Entretanto, ela continuou sem correção até 9 de agosto. O Insanity Security Lab decidiu publicar sua existência na expectativa de que a OAB corrija o problema.

 

Bastante conhecida, a falha é registrada como “CVE-2019-19616: Insecure Direct Object Reference (IDOR) in Xtivia Web Time and Expense”. Até esta segunda, a OAB não tinha conhecimento do problema.

 

Marcos Cabello, vice-presidente da Comissão Especial de Tecnologia da OAB, fez um post no Facebook informando que “o Conselho Federal da Ordem dos Advogados do Brasil, ao tomar conhecimento de noticia indicando vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional, adotou a imediata providência de sua inativação provisória”.

 

Em nota, o Conselho Federal da OAB se manifestou sobre o caso:

 

O Conselho Federal da OAB foi notificado sobre o possível vazamento de dados de sua base, por meio de uma vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional. Imediatamente, adotou as providências por meio de sua Gerência de Tecnologia da Informação. As correções necessárias foram imediatamente implementadas e o problema, sanado.

 

A OAB está comunicando às autoridades o ocorrido, para que sejam procedidas as investigações necessárias.

 

O Conselho Federal informa ainda que está discutindo um plano de aperfeiçoamento contínuo da segurança dos dados do Cadastro Nacional dos Advogados, a ser implantado em conjunto com a seccionais.   

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Regulação da IA: Brasil deve seguir projeto próprio de governança?

Debate voltou aos holofotes com o questionamento se os países devem investir especificamente em regulações que levem em consideração a...
Security Report | Destaques

Ataque cibernético impacta serviços da Unimed 

Em nota, a cooperativa do Vale do Taquari e Rio Pardo afirmou que investiga o incidente cibernético ocorrido nesta terça-feira...
Security Report | Destaques

Integração da Cibersegurança: como superar o desafio de proteger IT, OT e IoT?

Diante da demanda do CISO em contar com uma proteção mais integrada em ambientes que se conectam, como TI, OT...
Security Report | Destaques

Sobrecarga de acessos faz site do Porto de Santos sair do ar

Ocorrência se deu nessa segunda-feira, quando o endereço ligado ao maior complexo portuário da América Latina ficou inacessível por diversas...