Tecnologia

Hacker acessa código fonte do Prezi

Empresa negou recompensa pela descoberta da brecha de segurança

Prezi (Reprodução)

Prezi (Reprodução)

DR

Da Redação

Publicado em 3 de dezembro de 2013 às 17h51.

Um desenvolvedor aproveitou uma brecha de segurança e conseguiu acessar o código fonte do Prezi, popular serviço online de montagem de apresentações. O usuário, chamado Shubham, participava de um programa de caça a bugs, enviou sua descoberta à equipe do Prezi, mas teve sua recompensa negada por estar "fora do escopo" do programa.

Shubham buscava por falhas, rastreando subdomínios do serviço com ajuda do Google. Nesse processo, encontrou o endereço http://intra.prezi.com:8081 desprotegido e rodando o software de controle de código Sonatype Nexus. Tudo que ele precisava era um login e senha.

Novamente com a ajuda do Google, Shubham rastreou essa mesma URL e, para sua surpresa, encontrou um repositório público de um dos desenvolvedores do Prezi. Nele, havia um arquivo de configuração com o login e senha que ele precisava. Shubham voltou à página e confirmou que as credenciais davam acesso a todo código fonte do serviço.

O desenvolvedor manteve sua descoberta em sigilo e entrou em contato com a equipe de segurança da empresa. Para sua frustração, dias depois, recebeu a resposta de que sua descoberta não estava “no escopo” do programa de caça a bugs, pois ele havia usado as credenciais de um de seus funcionários.

Decepcionado, Shubham escreveu a história em seu blog. A história repercutiu na comunidade de desenvolvedores, que lamentaram a decisão do Prezi. Para quem administra versões de código online, fica a lição: cuidado com o que você deixa aberto na web.

Acompanhe tudo sobre:HackersINFOseguranca-digital

Mais de Tecnologia

Galaxy S24 Ultra: quanto vale a pena pagar na Black Friday 2024?

iPhone 15, 15 Plus, 15 Pro ou 15 Pro Max: qual vale mais a pena na Black Friday?

Xiaomi Poco X6: quanto vale a pena pagar na Black Friday 2024?

Moto G24 Power: quanto vale a pena pagar na Black Friday 2024?