Paulo Choupina, profissional da área de cibersegurança, mostra através de um vídeo partilhado hoje na plataforma de vídeos Youtube, ter descoberto uma vulnerabilidade de cross-site scripting (XSS) no site da Vodafone, na Alemanha. No vídeo, disponível aqui, é demonstrado HTML injection, com possibilidade de reflected cross-site scripting.
Recorde-se que a Vodafone Portugal foi, esta semana, vítima de um ciberataque, cujo objectivo passou por “tornar indisponível a rede e dificultar ao máximo a recuperação dos serviços”, não tendo sido reivindicada a autoria, nem sido pedido qualquer resgate, disseram responsáveis da empresa em conferência de imprensa.
Neste cenário actual, o responsável esclarece o papel do um hacker ético que “tem como função e dever cívico” encontrar falhas de segurança e “ajudar administradores e coders a corrigir o código antes que alguém se aproveite do problema para desmantelar o bom funcionamento dos negócios”.
Paulo Choupina tem contribuído para essa realidade ao longo dos últimos 15 anos para todo o tipo de entidades, nomeadamente “no sentido – que foi sempre ou quase sempre entendido -, de ajudar a pessoa responsável a proteger a sua empresa/instituição neste mundo digital”.
Como salienta, “por cada 30 utilizadores comuns e positivos, há um que tenta sair das regras do jogo, o que acaba sempre por ser disciplinado pela sociedade(…)”.
Há grandes profissionais em Portugal
Para o responsável, “a situação da cibersegurança é muito boa em Portugal”, existindo, como aponta, “grandes profissionais e grandes formadores”, como Bruno Morisson, David Sopas, André Baptista ou Tomás L. “sem querer menosprezar nomes que agora não referi”.
Estes “levam à frente o mundo da segurança informática e põem Portugal no mapa diariamente”, quer a partir das suas iniciativas, como a Web Summit, trabalho em comunidade na Hackerone, em empresas como a Integrity, relatórios de full disclousure sobre últimos bugs ou pela “excelente formação de novos profissionais”.
Fazer da internet um sítio seguro
“Espero que as ajudas que a comunidade oferece em pro bono sejam aproveitadas pelas empresas ao máximo (…)”. Como aponta, “grandes nomes na informática, como a Microsoft e Google, demoram uma questão de horas a dias para corrigir o mesmo tipo de bug”.
Como aponta, “se todos contribuirmos, conseguimos fazer da internet um sítio seguro e não a anarquia que esses utilizadores mal-intencionados tenta criar”. Além disso, refere que “a cibersegurança é tão importante no ecossistema informático, como a guarda é para o cidadão”.
A título de exemplo, destaca o técnico, developer que cria e escreve código, “mas deixa de conseguir raciocinar no limite e espera que o que fez seja suficiente”. É aqui que “a segurança entra, ” pois “, o trabalho do developer é funcionalidade mas onde esta acaba, cria buracos, vulnerabilidades e bugs que utilizadores mal-intencionados podem tirar partido para proveito ilegal e pessoal”.
Paulo Choupina salienta que a situação vivida na Vodafone é “lamentável” e que “podia ser facilmente evitada se a Vodafone criasse um programa de Bug Bounty”. Como refere, “já existem diversas plataformas, como a Hackerone ou a Bugcrowd, onde pode receber ajuda da comunidade em troco de pequenas contribuições monetárias ou referencias de «obrigado» numa página oficial”.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
