{"id":153,"date":"2025-02-10T18:03:32","date_gmt":"2025-02-10T18:03:32","guid":{"rendered":"https:\/\/fikresekhel.com\/blog\/?p=153"},"modified":"2025-02-10T18:03:33","modified_gmt":"2025-02-10T18:03:33","slug":"caso-de-estudo-vazamento-de-credenciais-sensiveis-via-github","status":"publish","type":"post","link":"https:\/\/fikresekhel.com\/blog\/nossos-cases\/caso-de-estudo-vazamento-de-credenciais-sensiveis-via-github\/","title":{"rendered":"Caso de Estudo: Vazamento de Credenciais Sens\u00edveis via GitHub"},"content":{"rendered":"\n

Resumo do Caso<\/h2>\n\n\n\n

Durante uma auditoria de seguran\u00e7a realizada por FikreSekhel<\/strong>, foi identificada uma vulnerabilidade cr\u00edtica em um sistema de e-commerce<\/strong>, onde credenciais de acesso ao portal administrativo foram publicadas acidentalmente em um reposit\u00f3rio p\u00fablico do GitHub<\/strong>. Essa falha permitia que qualquer pessoa com acesso ao reposit\u00f3rio utilizasse as credenciais para realizar login na plataforma e visualizar informa\u00e7\u00f5es confidenciais.<\/p>\n\n\n\n

Essa vulnerabilidade foi classificada como Cr\u00edtica<\/strong> e corrigida ap\u00f3s a remo\u00e7\u00e3o das credenciais expostas e a implementa\u00e7\u00e3o de boas pr\u00e1ticas de seguran\u00e7a.<\/p>\n\n\n\n

\n\n\n\n

Linha do Tempo do Incidente<\/strong><\/h2>\n\n\n\n
Data<\/th>Hor\u00e1rio (UTC)<\/th>A\u00e7\u00e3o<\/th><\/tr>
14\/01\/2021<\/td>09:45<\/td>Vulnerabilidade reportada<\/td><\/tr>
14\/01\/2021<\/td>10:12<\/td>Status alterado para “Triaged” ap\u00f3s valida\u00e7\u00e3o da falha<\/td><\/tr>
19\/01\/2021<\/td>09:41<\/td>Recompensa concedida ao pesquisador<\/td><\/tr>
21\/01\/2021<\/td>17:54<\/td>Vulnerabilidade resolvida e status do relat\u00f3rio fechado<\/td><\/tr>
26\/08\/2024<\/td>15:35<\/td>Relat\u00f3rio tornado p\u00fablico<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Detalhes da Vulnerabilidade<\/strong><\/h2>\n\n\n\n

A falha ocorreu devido \u00e0 inclus\u00e3o de credenciais hardcoded em um reposit\u00f3rio p\u00fablico do GitHub<\/strong>, possibilitando que qualquer usu\u00e1rio com acesso ao reposit\u00f3rio utilizasse essas credenciais para acessar o sistema.<\/p>\n\n\n\n

Exemplo de C\u00f3digo Explor\u00e1vel<\/strong><\/h3>\n\n\n\n

As credenciais estavam embutidas no c\u00f3digo-fonte, vis\u00edveis publicamente:<\/p>\n\n\n\n

driver.find_element_by_xpath(\"\/\/input[@name='login']\").send_keys(\"admin@example.com\")\ndriver.find_element_by_xpath(\"\/\/input[@name='password']\").send_keys(\"SuperSenha123\")<\/code><\/pre>\n\n\n\n
\ud83d\udd34 Problema:<\/strong> Qualquer pessoa poderia acessar o c\u00f3digo-fonte e utilizar essas credenciais para obter acesso ao painel administrativo.<\/p>\n\n\n\n
\u26a0\ufe0f Impacto:<\/strong> A falha permitia acesso n\u00e3o autorizado a informa\u00e7\u00f5es sens\u00edveis<\/strong>, comprometendo a integridade do sistema e dos dados dos clientes.<\/p>\n\n\n\n
\n\n\n\n
Impacto da Vulnerabilidade<\/strong><\/h2>\n\n\n\n
\ud83d\udd34 Exposi\u00e7\u00e3o de Credenciais Sens\u00edveis<\/strong>: Usu\u00e1rios mal-intencionados poderiam explorar as credenciais expostas para obter acesso ao sistema.<\/p>\n\n\n\n
\ud83d\udd34 Risco de Ataques Automatizados<\/strong>: As credenciais poderiam ser coletadas por bots e usadas em ataques contra outros servi\u00e7os.<\/p>\n\n\n\n
\ud83d\udd34 Comprometimento da Privacidade dos Clientes<\/strong>: Dados pessoais e hist\u00f3ricos de compras poderiam ser acessados e utilizados para fraudes.<\/p>\n\n\n\n
\ud83d\udd34 Risco de Escalabilidade do Ataque<\/strong>: Com acesso ao portal administrativo, um atacante poderia explorar outras vulnerabilidades no sistema.<\/p>\n\n\n\n
\n\n\n\n
Resolu\u00e7\u00e3o e Medidas Preventivas<\/strong><\/h2>\n\n\n\n
\u2705 Remo\u00e7\u00e3o imediata das credenciais do reposit\u00f3rio GitHub<\/strong><\/p>\n\n\n\n
\u2705 Gera\u00e7\u00e3o de novas credenciais e invalida\u00e7\u00e3o das antigas<\/strong><\/p>\n\n\n\n
\u2705 Implementa\u00e7\u00e3o de vari\u00e1veis de ambiente para credenciais sens\u00edveis<\/strong><\/p>\n\n\n\n
\u2705 Uso de ferramentas automatizadas para detectar credenciais hardcoded<\/strong><\/p>\n\n\n\n
\u2705 Monitoramento cont\u00ednuo para identificar acessos n\u00e3o autorizados<\/strong><\/p>\n\n\n\n
\u2705 Treinamento de desenvolvedores sobre boas pr\u00e1ticas de seguran\u00e7a<\/strong><\/p>\n\n\n\n
\n\n\n\n
Conclus\u00e3o<\/strong><\/h2>\n\n\n\n
Este caso destaca a import\u00e2ncia de boas pr\u00e1ticas no armazenamento de credenciais<\/strong> e o uso de ferramentas de monitoramento de c\u00f3digo<\/strong> para evitar vazamentos acidentais. A falha foi corrigida ap\u00f3s a remo\u00e7\u00e3o das credenciais expostas e a aplica\u00e7\u00e3o de melhores pr\u00e1ticas de seguran\u00e7a.<\/p>\n\n\n\n
\ud83d\udd0e Sua empresa protege adequadamente suas credenciais?<\/strong> Testes regulares podem evitar exposi\u00e7\u00e3o de dados sens\u00edveis e comprometimento da seguran\u00e7a<\/strong>.<\/p>\n\n\n\n
\ud83d\udca1 Entre em contato com nossos especialistas e agende uma auditoria de seguran\u00e7a!<\/strong><\/p>\n\n\n\n
\ud83d\udcf2\u00a0Clique aqui e converse com um especialista no WhatsApp!<\/a><\/strong><\/p>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Resumo do Caso Durante uma auditoria de seguran\u00e7a […]<\/p>\n","protected":false},"author":1,"featured_media":154,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[24],"tags":[],"class_list":["post-153","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nossos-cases"],"_links":{"self":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/comments?post=153"}],"version-history":[{"count":1,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/153\/revisions"}],"predecessor-version":[{"id":155,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/posts\/153\/revisions\/155"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media\/154"}],"wp:attachment":[{"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/media?parent=153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/categories?post=153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fikresekhel.com\/blog\/wp-json\/wp\/v2\/tags?post=153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}