UPDATE: os links originais no servidor do sistema de ingressos já foram removidos.
UPDATE 2: haters gonna hate.
Esta madrugada o @viniciuskmax divulgou falhas no sistema de vendas de ingressos do festival Lollapalooza. Não sei do que se tratam as falhas: alguma configuração de servidor ou algum exploit da versão 8.6 do Painel Plesk, mas aparentemente as falhas dão permissão de leitura / escrita nos arquivos do servidor.
Arquivos SVN – FutebolCard
Além do Plesk em uma versão antiga, acessando os dados das pastas .svn (porque diabos subir os pacotes de versionamento para produção?) Kmax percebeu que possivelmente o sistema é com código reaproveitado do FutebolCard.
Em uma parte do arquivo entries do SVN temos:
http://svn.outplan.com.br/usvn/svn/FutebolCard/branches/lollapalooza_novo/prod/site
Veja o arquivo completo do SVN aqui: https://ingressos.lollapalooza.com.br/prod/site/.svn/entries
E para os hackers que quiserem testar mais falhas de segurança, sabendo dos cuidados que a empresa que criou o sistema tem com segurança, esta página de clientes pode ser um banquete.
Dados dos compradores expostos
Com a possibilidade de escrever arquivos no servidor, foi possível fazer consultas no banco e expor dados dos compradores:
Veja a consulta completa aqui.
Aparentemente qualquer chamado aberto no sistema de ingressos também foi apagado com outro script injetado no sistema.
Deixe um comentário