O programa Hackers do Bem teve duas brechas graves alertadas e corrigidas na última semana: a primeira delas permitia o ranking de competição entre os alunos, já a segunda permitia alteração de dados cadastrais de alunos.
Segundo o estudante de cibersegurança George Luiz de Freitas Souza, aluno do programa Hackers do Bem, em relato ao CISO Advisor, as falhas foram alertadas aos gestores do programa e já foram corrigidas.
A primeira falha revelava o ranking de competição entre os alunos, “que não deveria ser público e poderia ser acessado por falha do próprio código do site do Hackers do Bem”.
A segunda falha “permitia que um invasor alterasse o CPF e o email vinculado às contas dos alunos. Essa brecha poderia possibilitar acesso às contas dos usuários, com potencial para ações como exclusão e troca de perfis, manipulação de posições no ranking, bem como emissão de certificados de conclusão das fases do curso de forma fraudulenta”.
Em explicação ao veículo, Souza alega que as descobertas foram feitas durante análise sobre o código do portal — por meio da exploração de diretórios (Forced Browsing/Directory Traversal), por exemplo, era possível visualizar o ranking completo, incluindo outros dados de participantes.
Por último, a segunda falha permitia até a geração de certificados do curso para terceiros. Como dito anteriormente, após o contato do aluno, as falhas foram corrigidas.
