Instituto Mises Brasil
Em Agosto de 2020, encontrei uma série de 3 vulnerabilidades no portal do Instituto Mises Brasil. As vulnerabilidades eram as seguintes:
- XSS Não-Persistente
- XSS Persistente
- Falha no Controle de Acesso aos perfis de usuário
Decidi procurar por vulnerabilidades após o Instituto Mises Brasil ter sido alvo de ataques de crackers. Meu intúito era ajudar a fortalecer o movimento Libertário ao apresentá-los vulnerabilidades antes que fossem exploradas por atacantes maliciosos.
Todas elas foram éticamente encontradas e reportadas à equipe do Instituto Mises Brasil, mesmo embora tenham sido rejeitadas pela equipe.
Na época, eles, alegadamente, tinham contratado uma empresa para encontrar e corrigir as vulnerabilidades, utilizando isso como justificativa para recusar qualquer informação acerca das vulnerabilidades que eu tinha encontrado.
Confesso que fiquei um pouco desapontado com a postura deles, mas definitivamente não fiquei surpreso. O nível de segurança que encontrei provavelmente era um reflexo do quanto eles se importavam com InfoSec naquela época.
Após cerca de 2 anos do ocorrido, e após averiguar que as falhas haviam sido corrigidas, venho a publicar esse feito, de forma a incluí-lo em meu portfólio.
Vídeo
Veja abaixo meu vídeo sobre as vulnerabilidades encontradas:
( https://www.youtube.com/watch?v=B1jtEjESbhU )
Relatório
Ainda sem nenhuma experiência profissional na elaboração de relatórios de segurança da informação, eu havia compilado um documento com os passos necessários para reproduzir cada vulnerabilidade.
Veja o relatório no PDF a seguir: Ver Relatório