Um desenvolvedor aproveitou uma brecha de segurança e conseguiu acessar o código fonte do Prezi, popular serviço online de montagem de apresentações. O usuário, chamado Shubham, participava de um programa de caça a bugs, enviou sua descoberta à equipe do Prezi, mas teve sua recompensa negada por estar "fora do escopo" do programa.

Shubham buscava por falhas, rastreando subdomínios do serviço com ajuda do Google. Nesse processo, encontrou o endereço http://intra.prezi.com:8081 desprotegido e rodando o software de controle de código Sonatype Nexus. Tudo que ele precisava era um login e senha.

Novamente com a ajuda do Google, Shubham rastreou essa mesma URL e, para sua surpresa, encontrou um repositório público de um dos desenvolvedores do Prezi. Nele, havia um arquivo de configuração com o login e senha que ele precisava. Shubham voltou à página e confirmou que as credenciais davam acesso a todo código fonte do serviço.

O desenvolvedor manteve sua descoberta em sigilo e entrou em contato com a equipe de segurança da empresa. Para sua frustração, dias depois, recebeu a resposta de que sua descoberta não estava “no escopo” do programa de caça a bugs, pois ele havia usado as credenciais de um de seus funcionários.

Decepcionado, Shubham escreveu a história em seu blog. A história repercutiu na comunidade de desenvolvedores, que lamentaram a decisão do Prezi. Para quem administra versões de código online, fica a lição: cuidado com o que você deixa aberto na web.