Nesta segunda-feira (10/8) em post divulgado no perfil Insanity Security LAB no Facebook, foi indicada uma falha que pode ter exposto dados pessoais de advogados inscritos na Ordem dos Advogados do Brasil, OAB.
A falha permitia a exibição de dados pessoais de todos os inscritos pela simples alteração de parâmetros na URL do site. A falha é conhecida como Insecure Direct Object Reference (IDOR).
Os dados supostamente expostos podem incluir, segundo post:
- Nome Completo
- Nome da mãe e pai
- Nome Profissional
- Data de nascimento
- RG (Número, Data de emissão, Órgão emissor)
- CPF
- Número do título eleitoral
- Cidade eleitoral
- Endereço Residencial (Logradouro, Complemento, Numero, Bairro, Cidade, CEP)
- Número de Telefone e Celular
Em nota a OAB declarou que ao tomar conhecimento da notícia adotou ações imediatas para desativar a página em questão. Segue declaração da OAB:
“O Conselho Federal da Ordem dos Advogados do Brasil, ao tomar conhecimento de noticia indicando vulnerabilidade no módulo de pré-cadastro do Sistema de Identidade profissional, adotou a imediata providência de sua inativação provisória, mediante ação preventiva adotada pela sua Gerência de Tecnologia da Informação. Após a finalização de auditoria interna, realizado em caráter de urgência, visando à implementação da correção necessária, informações serão divulgadas por esta Entidade, com o intuito de garantir a contínua preservação dos dados do Cadastro Nacional dos Advogados – CNA.
Brasília, 10 de agosto de 2020.” OAB – Nacional
