{"id":146,"date":"2025-02-10T17:25:29","date_gmt":"2025-02-10T17:25:29","guid":{"rendered":"https:\/\/fikresekhel.com\/blog\/?p=146"},"modified":"2025-02-10T17:25:31","modified_gmt":"2025-02-10T17:25:31","slug":"caso-de-estudo-exposicao-de-conteudo-premium-e-dados-financeiros-por-api-nao-autenticada","status":"publish","type":"post","link":"https:\/\/fikresekhel.com\/blog\/nossos-cases\/caso-de-estudo-exposicao-de-conteudo-premium-e-dados-financeiros-por-api-nao-autenticada\/","title":{"rendered":"Caso de Estudo: Exposi\u00e7\u00e3o de Conte\u00fado Premium e Dados Financeiros por API N\u00e3o Autenticada"},"content":{"rendered":"\n

Resumo do Caso<\/h2>\n\n\n\n

Durante uma auditoria de seguran\u00e7a realizada por FikreSekhel<\/strong>, foi identificada uma vulnerabilidade cr\u00edtica na plataforma #privacidade-cliente<\/strong>, permitindo acesso n\u00e3o autenticado a conte\u00fados premium e informa\u00e7\u00f5es financeiras de produtores de v\u00eddeos. Essa falha possibilitava a exibi\u00e7\u00e3o gratuita de v\u00eddeos exclusivos para assinantes e a consulta de dados financeiros sigilosos atrav\u00e9s de endpoints da API.<\/p>\n\n\n\n

\n\n\n\n

Linha do Tempo do Incidente<\/strong><\/h2>\n\n\n\n
Data<\/th>Hor\u00e1rio (UTC)<\/th>A\u00e7\u00e3o<\/th><\/tr>
4 dias atr\u00e1s<\/td>—<\/td>Vulnerabilidade reportada pela FikreSekhel<\/td><\/tr>
4 dias atr\u00e1s<\/td>—<\/td>Investiga\u00e7\u00e3o iniciada pela equipe t\u00e9cnica<\/td><\/tr>
4 dias atr\u00e1s<\/td>—<\/td>Report fechado pela equipe t\u00e9cnica como “N\u00e3o Aplic\u00e1vel”<\/td><\/tr>
3 dias atr\u00e1s<\/td>—<\/td>Solicita\u00e7\u00e3o de divulga\u00e7\u00e3o do relat\u00f3rio pelo pesquisador<\/td><\/tr>
20 horas atr\u00e1s<\/td>—<\/td>Equipe de seguran\u00e7a concorda em divulgar o relat\u00f3rio<\/td><\/tr>
20 horas atr\u00e1s<\/td>—<\/td>Relat\u00f3rio tornado p\u00fablico<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Detalhes da Vulnerabilidade<\/strong><\/h2>\n\n\n\n

A falha foi encontrada nos endpoints de API<\/strong>, que permitiam acesso irrestrito a v\u00eddeos premium e dados financeiros dos produtores sem qualquer mecanismo de autentica\u00e7\u00e3o. A seguir, est\u00e3o os principais problemas identificados:<\/p>\n\n\n\n

\u2705 Acesso n\u00e3o autenticado a v\u00eddeos premium<\/strong>: Qualquer usu\u00e1rio poderia acessar conte\u00fados exclusivos sem precisar de uma assinatura paga.<\/p>\n\n\n\n

\u2705 Exposi\u00e7\u00e3o de dados financeiros por v\u00eddeo<\/strong>: A API retornava informa\u00e7\u00f5es sobre ganhos por v\u00eddeo, permitindo a an\u00e1lise de receita gerada por cada transa\u00e7\u00e3o.<\/p>\n\n\n\n

\u2705 Exposi\u00e7\u00e3o de metadados dos v\u00eddeos<\/strong>: Detalhes como ID do v\u00eddeo, t\u00edtulo, dura\u00e7\u00e3o, status de privacidade e engajamento estavam dispon\u00edveis sem restri\u00e7\u00f5es.<\/p>\n\n\n\n

\n\n\n\n

Explora\u00e7\u00e3o da Vulnerabilidade<\/strong><\/h2>\n\n\n\n

Endpoints Afetados<\/strong>:<\/h3>\n\n\n\n
    \n
  • https:\/\/www.privacidade-cliente.com\/api\/canais\/rede-exclusiva\/premium\/1<\/code><\/li>\n\n\n\n
  • https:\/\/www.privacidade-cliente.com\/api\/canais\/estudios-premium\/melhores\/0<\/code><\/li>\n\n\n\n
  • https:\/\/www.privacidade-cliente.com\/api\/videos\/exclusivos\/nikki-brooks-vol4<\/code><\/li>\n<\/ul>\n\n\n\n

    Trecho da Resposta da API<\/strong><\/h3>\n\n\n\n
    {\n  \"id\": 950497,\n  \"status\": \"PUBLISHED\",\n  \"is_private\": false,\n  \"timestamp\": 1695600641,\n  \"videos\": [\n    {\n      \"id\": 74696125,\n      \"url\": \"\/video\/nikki-brooks-vol4\",\n      \"categoria\": \"10\",\n      \"titulo\": \"Nikki Brooks Vol 4\",\n      \"duracao\": \"45 min\",\n      \"preco\": \"$24,99\",\n      \"produtor\": \"estudios-premium\",\n      \"canal\": true,\n      \"premium\": true\n    }\n  ]\n}<\/code><\/pre>\n\n\n\n
    \ud83d\udd34 Problema:<\/strong> Nenhum dos dados acima deveria estar acess\u00edvel sem autentica\u00e7\u00e3o.
    \u26a0\ufe0f Impacto:<\/strong> Usu\u00e1rios podiam acessar e copiar v\u00eddeos premium sem pagar, al\u00e9m de analisar receitas dos produtores.<\/p>\n\n\n\n
    \n\n\n\n
    Impacto da Vulnerabilidade<\/strong><\/h2>\n\n\n\n
    \ud83d\udd34 Perda de Receita:<\/strong> Usu\u00e1rios conseguiam burlar o paywall e acessar conte\u00fados premium gratuitamente.<\/p>\n\n\n\n
    \ud83d\udd34 Exposi\u00e7\u00e3o de Dados Financeiros:<\/strong> Qualquer pessoa podia consultar a receita gerada por v\u00eddeos e canais espec\u00edficos.<\/p>\n\n\n\n
    \ud83d\udd34 Risco de Roubo de Conte\u00fado:<\/strong> V\u00eddeos premium poderiam ser baixados e redistribu\u00eddos ilegalmente.<\/p>\n\n\n\n
    \ud83d\udd34 Intelig\u00eancia Competitiva:<\/strong> Empresas concorrentes poderiam extrair dados financeiros para an\u00e1lise de mercado.<\/p>\n\n\n\n
    \n\n\n\n
    Resolu\u00e7\u00e3o e Medidas Preventivas<\/strong><\/h2>\n\n\n\n
    \u2705 Implementa\u00e7\u00e3o de autentica\u00e7\u00e3o obrigat\u00f3ria para acessar APIs sens\u00edveis<\/strong><\/p>\n\n\n\n
    \u2705 Uso de tokens de sess\u00e3o para validar solicita\u00e7\u00f5es<\/strong><\/p>\n\n\n\n
    \u2705 Criptografia de dados financeiros antes da transmiss\u00e3o via API<\/strong><\/p>\n\n\n\n
    \u2705 Monitoramento e logs detalhados para detectar acessos suspeitos<\/strong><\/p>\n\n\n\n
    \u2705 Auditorias de seguran\u00e7a peri\u00f3dicas para evitar vulnerabilidades semelhantes<\/strong><\/p>\n\n\n\n
    \n\n\n\n
    Conclus\u00e3o<\/strong><\/h2>\n\n\n\n
    Este caso destaca a import\u00e2ncia de proteger APIs que manipulam conte\u00fado premium e dados financeiros<\/strong>. A aus\u00eancia de autentica\u00e7\u00e3o permitiu a exposi\u00e7\u00e3o de informa\u00e7\u00f5es sigilosas e resultou em poss\u00edveis perdas financeiras. Implementar controles de acesso rigorosos e auditorias constantes<\/strong> s\u00e3o essenciais para evitar esse tipo de falha.<\/p>\n\n\n\n
    \ud83d\udd0e Sua empresa protege adequadamente suas APIs?<\/strong> Testes regulares podem evitar preju\u00edzos financeiros e exposi\u00e7\u00e3o de dados sens\u00edveis.<\/p>\n\n\n\n
    \ud83d\udca1 Fale agora com nossos especialistas e agende uma auditoria de seguran\u00e7a para sua plataforma!<\/strong><\/p>\n\n\n\n
    \ud83d\udcf2 Clique aqui e converse com um especialista no WhatsApp!<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"
    Resumo do Caso Durante uma auditoria de seguran\u00e7a […]<\/p>\n","protected":false},"author":1,"featured_media":147,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[24],"tags":[],"class_list":["post-146","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nossos-cases"],"_links":{"self":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/comments?post=146"}],"version-history":[{"count":1,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/146\/revisions"}],"predecessor-version":[{"id":148,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/146\/revisions\/148"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media\/147"}],"wp:attachment":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media?parent=146"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/categories?post=146"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/tags?post=146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}