Acessar blogs do R7 foi fácil, diz hacker

SÃO PAULO – O especialista no sistema de blogs Wordpress Guilherme Aguiar afirmou que foi fácil ganhar acesso sem uma senha ao sistema de blogs do portal R7, que foi ao ar no último domingo.

O coordenador de interface e integração de serviços da equipe Xemelê, do Ministério da Cultura, ganhou acesso ao sistema apenas entrando na página de administração do serviço. Se a Record não tivesse bloqueado os endereços, posts e informações dos usuários poderiam ser danificados.

INFO Online - Como você teve a idéia de acessar as páginas de login do sistema de blogs? Já sabia que era Wordpress?

Aguiar - Eu já sabia que o R7 iria utilizar o WordPressMU em seus blogs e, por curiosidade, resolvi fazer alguns testes básicos de segurança. Começo digitando "/wp-admin" logo após a terminação do endereço do site. Já na primeira tentativa, conseguimos logar.

INFO Online - A administração era geral ou só de um blog específico? Que estrago poderia fazer por lá?

Aguiar - Quando loguei pela primeira vez, a administração era somente para um blog, o Blog do Rubens Ewald Filho. Neste caso, eu estava com nível de administrador somente para este blog e tinha permissão de administrador para apagar o conteúdo, comentários, alterar o tema, editar plugins, enfim, fazer o que quisesse. Fiz outras tentativas para ver se era um problema somente nesse blog, mas também consegui acessar os blogs da Fabiola Reipert e do Edu Guedes.

Para minha surpresa, no Blog do Edu Guedes o usuário apareceu como administrador geral, com permissão para inclusive excluir e criar novos blogs.

INFO Online - Como conseguiu entrar sem a senha?

Aguiar - Suponho que o problema ocorreu por eu estar logado em um site em WordPress no meu computador. Ao fazer o teste no site do R7, ele logou acidentalmente por estar compartilhando a mesma chave de autenticação, provavelmente a padrão, assim como ocorre na integração do bbPress com o WordPress.

Vale a pena ressaltar que seria importante o R7, antes do lançamento, ter seguido algumas dicas importantes de segurança. Ou mesmo ter consultado os membros da comunidade oficial do WordPress no Brasil.

• Os Danadinhos eu quero ser famozo
  enviado por: fwf r em 10/10/2009 - 22:03
• hacker ????????? Agora até vocês estão dando uma de sensacionalistas? já não basta Record ? Palhaçada ! O fez um favor ! Twitter do R7 RecordR7
  enviado por: Paulo Pagode Samba em 04/10/2009 - 06:06
• Pow eu esperava mais desse portal afinal de contas tanto estardalhaço pra cair num erro tão besta quanto esse. obs: bem que ele podia ter uma interface para amigável ou quem saber um exclusiva para iphone, mais seria pedir demais rsrsrs
  enviado por: Alessandro Lobato Takaki em 30/09/2009 - 12:25
• Realmente pessoal, o termo "invador" é um pouco forte. Retiramos a pedido do próprio Guilherme. Quanto ao termo hacker, a INFO utiliza o termo para identificar o especialista e não os criminosos.
  enviado por: James Della Valle em 30/09/2009 - 10:45
• Desde q não se crie uma lei sobre crimes virtuais, invadir sistemas ou redes ainda não é considerado crime, só é crime qdo o invasor destrói, danifica, altera, ou utiliza de dados obtidos para outros fins, e msm assim esses crimes são enquadrados no código civil e penal da nossa federação.
  enviado por: Leonardo Neves em 29/09/2009 - 18:35
• Depois de ler o conteúdo, penso que o título é injusto com o que foi praticado. É que, a palavra HACKER é mal interpretada, e até, tem significado de CRIMINOSO. Quando ele apenas fez, quem sabe, um grande favor!
  enviado por: Adao Braga em 29/09/2009 - 18:29
• Fácil foi. Mas o que leva alguém com nome e profissão públicos cometer uma invasão dessas? Isso não é crime? O cara vai ser processado? Ou ele foi contratado pelo portal para testar a segurança do site? Alguém poderia explicar?
  enviado por: William Riga em 29/09/2009 - 18:08
• Tbm, os kra lançaro o site nas coxa uhuh Não que seja ruim mas na pressa non da tempus pra testa vunerabilidadis uuuhu
  enviado por: Vitor Pereira de Freitas em 29/09/2009 - 12:21
• Tem um ponto positivo nesta ocorrido;o R7 vai bombar ainda mais com segurança.E esperar que nenhum CRACKER tenha acesso!!!
  enviado por: Camilo Sobrinho em 29/09/2009 - 11:41
• Put's que milho... Kk's. Se meu deixa os cara da Globo ver isso, vão querer entra de qualquer jeito agora que descobriram que o sistema é mow bosta, só para ferrar eles. Globo Vs Record.
  enviado por: Felipe Arruda de Melo em 29/09/2009 - 11:38
• Eles deram sorte que o Hacker não era contratado pela Tv Globo. kkkkkkkkkkkkkk
  enviado por: Diogo Henrique Fragoso de Oliveira em 29/09/2009 - 11:21
• Em qual IURD ficam os servidores do R7?
  enviado por: Fábio Horbach Garcia em 29/09/2009 - 11:10
• O engraçado é que muitas dessas vulnerabilidades já haviam sido constatadas tempos atrás e medidas de segurança já circulam na internet desde então. Foi engraçado... a Globo jamais deixaria isso acontecer!!! (kkkkkkkkkkkkkkkkkkkkkkkkkkkkk, dedada na ferida!!!)
  enviado por: Carlos Messala Borges de Oliveira em 29/09/2009 - 10:41
• Muito boa matéria. Atualmente, o Wordpress é um dos mais difundidos sistemas de Blog no mundo. Quantos sistems neste exato momento podem estar vulneráveis como o da R7? Porém, para um blog de uma empresa como a Record, "isto é uma vergonha" como diria o Boris Casoy.
  enviado por: Alexandre Gomes Barbosa em 29/09/2009 - 10:32

comentar