Hacker acessa código fonte do Prezi
Empresa negou recompensa pela descoberta da brecha de segurança
Da Redação
Publicado em 3 de dezembro de 2013 às 17h51.
Um desenvolvedor aproveitou uma brecha de segurança e conseguiu acessar o código fonte do Prezi, popular serviço online de montagem de apresentações. O usuário, chamado Shubham, participava de um programa de caça a bugs, enviou sua descoberta à equipe do Prezi, mas teve sua recompensa negada por estar "fora do escopo" do programa.
Shubham buscava por falhas, rastreando subdomínios do serviço com ajuda do Google. Nesse processo, encontrou o endereço http://intra.prezi.com:8081 desprotegido e rodando o software de controle de código Sonatype Nexus. Tudo que ele precisava era um login e senha.
Novamente com a ajuda do Google, Shubham rastreou essa mesma URL e, para sua surpresa, encontrou um repositório público de um dos desenvolvedores do Prezi. Nele, havia um arquivo de configuração com o login e senha que ele precisava. Shubham voltou à página e confirmou que as credenciais davam acesso a todo código fonte do serviço.
O desenvolvedor manteve sua descoberta em sigilo e entrou em contato com a equipe de segurança da empresa. Para sua frustração, dias depois, recebeu a resposta de que sua descoberta não estava no escopo do programa de caça a bugs, pois ele havia usado as credenciais de um de seus funcionários.
Decepcionado, Shubham escreveu a história em seu blog. A história repercutiu na comunidade de desenvolvedores, que lamentaram a decisão do Prezi. Para quem administra versões de código online, fica a lição: cuidado com o que você deixa aberto na web.
Mais lidas
Mais de Tecnologia
Executivos TI ganharam protagonismo entre os pares e agora ampliam funções em empresas, diz estudoGoogle aposta em assinaturas para impulsionar crescimento e competir com AppleSuécia recomenda que crianças menores de 2 anos não tenham acesso às telasCEO do Telegram se pronuncia após prisão e defende que plataforma não é "anárquica"