Como você reagiria se encontrasse seu documento ou cartão exposto na internet?
Não foi meu caso, mas poderia ser o caso de muita gente. Uma imagem me intrigou bastante na terça-feira (26/09), era uma lista com vários links de passaportes e vistos russos, ao clicar apareciam as imagens digitalizadas.
Com certeza foi utilizado alguma dork “sem vergonha” para tal resultado, com essa certeza e observando as imagens, tentei imaginar as possíveis ações que o atacante fez para chegar a esse resultado. E depois de algumas tentativas, PUMBA!! Cheguei ao mesmo resultado, impressionante a quantidade de documentos soltos na internet, de diversos tipos, modelos e localizações, quase um cardápio que pode ser escolhido por modelo e região.
Um prato cheio para os estelionatários.
Pensando nisso, trouxe para a realidade do Brasil e surpresa foi ainda pior, vários sites brasileiros guardando documentos sem o mínimo de segurança.
Alguns exemplos a seguir:
Pasmem, alguns com cartão de crédito anexado ao documento.
Depois de ter visto tudo isso, e achar que já tinha tudo, percebi que o pior da pesquisa estava por vir.
Em um único site mais de mil documentos, entre cpf, rg, atestados médicos e contratos, de diversos usuários estavam soltos e abertos para qualquer um visualizar.
O site provavelmente é baseado em rede social com foco específico, não posso entrar em detalhes para não dar dicas para a localização, mas provavelmente são documentos inseridos pelos própios donos por algum motivo ou a pedido do site, pois possuem números de registros de pastas, provavelmente o id do usuário.
Veja a seguir:
A solução:
Apache:
Cria-se um arquivo .htaccess com o seguinte comando:
ISS:
Disable Directory Browsing
Dicas:
- Nunca passe cópia de cartão de crédito, muito menos frente e verso.
- Cuidado ao enviar documentos digitalizados a alguém ou site, de preferência, evite.
- Se tiver que mandar, edite números referentes ao documento, seja ofuscando ou recortando a imagem.
Parabéns pelo artigo, Lenon! Quanto a solução, complementando o que disse, não listar os arquivos só soluciona parcialmente o problema. O ideal é que os uploads não fiquem dentro do DocumentRoot da aplicação, ou seja, não sejam acessíveis diretamente pelo browser.
Parabéns, ótimo post, man!
Abraço.