21 de ago de 2009

O erro da Telefônica

Um caso chamou minha atenção esta semana. O indiciamento do Vinicius Camacho Pinto, mais conhecido na rede pela alcunha K-Max, por ter descoberto uma falha em uma das paginas da Telefônica na web, através de um procedimento simples que era uma instrução para banco de dados (SQL Injection) e um script PHP para aceso via browser destas solicitações, concedendo acesso ao dados de usuários da empresa. Hacker conhecido por ter exposto várias vulnerabilidades de segurança em diferentes sistemas na web e fora dela, sendo as mais conhecidas o bloqueio de acesso dos sites do Google durante a última Campus Party e a possibilidade de roubar comunidades inteiras do Orkut via código, ele não teve muitas dificuldades para conseguir fazer o acesso. Ele deu uma entrevista a respeito sobre o que ocorreu ontem, enquanto a Telefonica soltou apenas uma nota sobre o fato.

Já existe muita discussão a respeito sobre como deveria ter sido o procedimento por ele adotado para avisar a Telefônica a respeito da falha. Opiniões a parte neste ponto, é preciso analisar o outro lado da questão. Se de fato a Telefônica não atualiza este site faz 3 anos, ela incorria em um erro gravíssimo. Não é possível trabalhar com TI sem se preocupar em criar métodos de gerencia e atualização dos sistemas da empresa. Um processo simples que poderia acabar com isso era adotar o controle de versão dos portais web e deixar uma pessoa responsável para analisar estes portais. Para uma empresa que tem mais de 20 mil funcionários, alguém que saiba rotinas web e com experiência em documentação de processo de negocio não seria um problema. Mesmo que ele não fosse alguém contratado, mas um auditor de sistemas que poderia enxergar e remediar esta situação

Como se vê, gerenciar conteúdo e atualização de sistemas conforme a necessidade é algo essencial. Nenhum sistema que esteja integrado com outros dentro de uma instituição pode ser desconsiderado. Em ambientes onde as informações são compartilhadas, mesmo que determinado sistema seja considerado de impacto baixo para o negócio, deve ser coberto dentro de um processo maior, relativo ao negócio. Dentro deste exemplo, o negócio da Telefônica sofre um impacto negativo muito grande. Primeiro, por ter um sistema que expõe dados de usuários que poderiam ser usado para outra finalidade na mãos de crackers em futuros golpes. Segundo, não é somente a área de TI que sofre o impacto. Quanto o pessoal de marketing da Telefônica deve estar gastando em campanhas para melhoria da imagem da empresa. O departamento jurídico, que ao acionar a justiça, tem um gasto x que pode lhe dar, dependendo do resultado da ação, um prejuízo N vezes maior.

Em suma, isto só mostra que estratégia e gestão de processos de negócios, visualizando todas áreas e todo e qualquer tipo de sistema é de fundamental necessidade para evitar este tipo de problema. Que as empresas de grande porte aprendam esta lição e não minimizem este caso como uma simples exceção que dificilmente repetirá. Pois até exceção nós podemos avaliar antes que elas ocorram.

Posts e Noticias Relacionados:

O hacker brasileiro que irritou a Telefônica

Sobre o processo contra @viniciuskmax

Programador pode ser punido com base no Código Penal