O site de compras da ANA Aeroportos de Portugal encontra-se com uma falha informática que permite aceder a moradas, e-mails, passwords e muito mais.
A ANA Aeroportos de Portugal tem um site de compras localizado em airportshopping.ana.pt que permite comprar vinhos, chocolates, brinquedos para crianças e muito mais.
Dentro deste website, que a a ANA Aeroportos de Portugal garante “não se encontra instalado na infra-estrutura informática da ANA Aeroportos”, é possível usar uma ataque conhecido como SQL Injection para ter aceso a e-mails e passwords que podem ser usados para aceder ao site.
Após login é possível ter aceso ás compras efetuadas bem como à morada e outros dados pessoais e privados.
a
Segundo fonte oficial da empresa, “o website Airport Shopping Online foi recentemente lançado a 1 de Janeiro de 2014 e a primeira auditoria externa de segurança informática está prevista ocorrer durante a 2ª metade do presente mês de Março”, ou seja, a auditoria é efectuada após o site entrar em produção.
Este site serve como loja online para as lojas que existem no Aeroporto de Lisboa.
Em relação a este ataque, a mesma fonte indica que “por uma questão de segurança, foi efetuado o reset da password de acesso dos clientes ao website”, no entanto, tal situação não resolve o problema de segurança.
A descoberta foi efetuada pelo hacker SniKeRHD, que enviou ao Tugaleaks uma lista com mais de 5700 registos.
Password fáceis são bastante usadas
Como habitualmente, várias pessoas têm passwords fáceis.
Através de uma análise, o Tugaleaks conseguiu apurar que a grande maioria das passwords não cumpre regras básicas como o uso de maiúsculas, números e caracteres especiais.
Os primeiros registos são de e-mails da TAP e ANA, e mesmo estes, em ambiente profissional, usam frequentemente os apelidos como passwords ou nomes comuns.
