Crônicas – O dia que eu achei todos os fontes de uma empresa no Google

E tinha senhas, acessos e muitas coisas nos fontes.

Há um bom tempo atrás, no GitHub não era possível você subir projetos privados, então se você subia algum fonte lá, todo mecanismo de busca, e qualquer pessoa, poderia encontrar os seus arquivos. Eu costumava alertar isso nas minhas aulas de TDS e de versionamento de fontes para meus alunos.

Pois bem, certa vez, estava eu em um cliente aqui da região de Bauru, e eu fui procurar um ponto de entrada em AdvPL, como vi que no TDN não tinha um exemplo, fui colocar no Google para ver se em algum fórum ou algum lugar alguém comentava sobre.

Partiu usar o Google?

Eu me deparei com um link do GitHub com o fonte, ai pensei “nossa, que legal, alguém está colocando exemplos de fontes AdvPL no GitHub, vou dar um follow”…

Jovens, quando eu vi a lógica do programa, eu já notei que não era apenas um exemplo, mas um fonte real, então voltei uma pasta acima, e percebi que era um projeto gigantesco, com inúmeros relatórios, cadastros, etc.

Surpresa!

Quando achei as informações da empresa, fiquei mais surpreso ainda, era uma das maiores marcas de Tecnologia aqui no Brasil, então decidi alertá-los.

Primeiro, comecei a caçar tudo que estava chumbado nos fontes de senhas, para se ter uma ideia, consegui até acessar o FTP deles. Depois que peguei essas informações, como não sabia quem contactar, fui pegando todos os emails que eu via nos fontes, @empresaXPTO.com.br, deu cerca de quase 30 emails.

Estava me sentindo o 007

Então no dia 20/08/2016 às 23h15, mandei um email para todos esses contatos, alertando que estavam expostos na internet, e dei dicas de ferramentas para utilizarem como mudar para um svn local na época, e até mesmo encapsular as senhas em parâmetros e coisas do tipo.

Eu já tava pensando, nossa eu ajudei a empresa, acho que vou ganhar um tablet ou ao menos um vale desconto em algum produto deles… Me iludi jovens, na verdade a equipe de sistemas respondeu o email falando que eram fontes antigos (mesmo com as senhas dando acesso normalmente até no FTP), e falaram que iriam tirar do ar as informações.

Ah inclusive, o FTP deles, as informações de login estão até hoje no Google.

Esse é um artigo da coluna, Crônicas, se você gostou, deixe um comentário que irei publicar outras histórias no futuro.

Bom pessoal, por hoje é só.

Abraços e até a próxima.

Dan Atilio (Daniel Atilio)
Especialista em Engenharia de Software pela FIB. Entusiasta de soluções Open Source. E blogueiro nas horas vagas.

2 Responses

  1. ANDRE FELIPE PELLEGRINI disse:

    Hahahaha… Eu também já encontrei esse tipo de projeto no GitHub de uma grande empresa de FastFoods.
    Mandei um e-mail pro pessoal informando a falha e logo tiraram o projeto de lá.
    Também não ganhei nem um hambúrguer kkkkkkk
    Parabéns pelo seu site!!

Deixe uma resposta