Falha de Segurança MUITO GRAVE no Mensageiro

Fevereiro 17, 2007
Mensageiro |

O Mensageiro tem tido alguns problemas nesta transição de versões e de servidores.

Às 11 da manhã de ontem foi posto no ar o novo servidor e depressa se aperceberam de alguns problemas relacionados com os passatempos. Hoje, por volta das 19:50 foram colocados comentários de utilizadores que alertaram para uma falha muito grave de segurança (eu li esses comentários) que pode comprometer severamente o serviço.

A primeira reacção da equipa foi apagar os ditos comentários que expunham a falha, pelo qual pediram desculpa aos comentadores. Entretanto parece que fecharam o serviço. Como o serviço está já fechado parece-me que poderiam ter dito aos utilizadores que falha era essa, a menos que a queiram esconder, já que é de facto muito grave e, na realidade é um bocado incompreensível que o serviço estivesse a funcionar assim. Eu diria que os testes não foram feitos como deve ser e é o que dá estar 48 horas acordado para fazer uma entrega. Alguém tem que perceber que por se trabalharem muitas horas a fio, não se trabalha melhor, nem sequer se produz mais. Apenas se gasta mais tempo.

E como o serviço já está fechado, julgo não colocar em risco nada ao divulgar a falha de segurança detectada.

Era possível fazer login preenchendo apenas o email, sem a password!

Como é fácil de perceber, isto dava para que qualquer pessoa se pudesse fazer passar por qualquer outra, acedendo às suas informações de contactos e inclusivé entrar em conversações com uma identidade falsa e receber informações de cariz privado. Muito Grave mesmo!

UPDATE: O bug foi resolvido

Technorati Tags: , ,

Comentários

5 Comentários

  1. Comentário por Pedro Couto e Santos on 18 de Fevereiro de 2007 0:29

    Bom… tendo em conta que essa informação esteve disponível menos de uma hora, no blog e que fizemos um esforço para que não fosse difundida, para proteger o serviço, é mesmo de muito mau gosto estar a contrariar a nossa tentativa de damage control, postando a informação.

    Se o único objectivo é atacar o sapo, pedia apenas que não fosse esquecido que não somos um bloco de cimento, mas pessoas, que também erram, como as outras.

  2. Comentário por Sérgio on 18 de Fevereiro de 2007 12:02

    Estás enganado Pedro, o meu objectivo não é nem nunca foi atacar o SAPO. Se achas que sim, estás a ver mal este Blog.

    Eu apenas difundi a informação porque no blog do mensageiro foi anunciado que o serviço tinha sido fechado! Não a difundi antes, apesar de a ter lido exactamente porque achei que seria perigoso fazê-lo sem serem tomadas medidas que prevenissem o ataque ao serviço.

    E eu não estou a atacar o SAPO nem as pessoas que nele trabalham. Claro que as pessoas erram, ainda para mais quando se fazem noitadas. Eu também sou Software Developer, por isso sei do que estou a falar.

    Acho que neste caso, o SAPO falhou ao lançar um serviço com uma falha tão grande. Há sempre pequenos bugs, alguns maiores que podem ser descobertos mais tarde, mas uma falha como esta não me parece admissível.

    Se em vez de me estares a acusar, me pedires, justificadamente para eu retirar a informação, não terei qualquer problema em o fazer. Medidas de Damage Control é retirar o serviço do ar e resolver o problema. Depois dessas medidas tomadas não vejo razão para esconder o problema.

  3. Comentário por Dextro on 18 de Fevereiro de 2007 13:55

    Desculpem mas isto não é um pequeno bug, é um autentico bug mutante do espaço LOL :lol:

    Se era permitido fazer login sem preencher o campo de password é porque se andou a mexer nesse sistema e não se teve a atenção necessária mas, como já foi dito, os erros acontecem e é para isso que serem os testes.

    Eu sei que o “When It’s Done” é muito chato para os chefes e os clientes mas num serviço como o mensageiro que até estava com um funcionamento bastante positivo não vejo qual era a pressa em acelerar a nova versão.

  4. Comentário por Cláudio Franco on 19 de Fevereiro de 2007 20:59

    Pedro as pessoas têm o direito a saber onde se metem.
    É justo divulgar os actos/erros que aconteceram (especialmente numa empresa como a PT) as conclusões ficam ao critério de cada um.

  5. Comentário por Sapinho on 19 de Fevereiro de 2007 21:41

    Bom… tendo em conta que essa informação esteve disponível menos de uma hora, no blog e que fizemos um esforço para que não fosse difundida, para proteger o serviço, é mesmo de muito mau gosto estar a contrariar a nossa tentativa de damage control, postando a informação.

    LOL, deves ser um dos que votam no Salazar nos “Grandes Portugueses” não ? Censuras as coisas do teu lado, não censuras do outro.

Comments RSS TrackBack Identifier URI

Publicar um comentário

Este blog utiliza a plataforma WordPress e o Design é uma adaptação do tema Vertigo Electrified de Brian Gardner.