É já bem público por várias fontes que o site da última campanha da Optimus tinha graves falhas de segurança.

Era algo mais ou menos nesta onda:

# mysql -u CENSURADO -p -h CENSURADO lojaoptimusnet
Enter password:
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 385 to server version: 4.1.20-log

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> show databases;
+-------------------------------+
| Database                      |
+-------------------------------+
| afiliados                     |
| clubexxp_forum                |
| clubexxp_forum_backup         |
| clubexxp_teste                |
| drsaude                       |
| enginsite_addons              |
| lojaoptimusnet                |
| mobilegames                   |
| mysql                         |
| newsletters_adslnovis         |
| newsletters_barclaycard       |
| newsletters_creditopessoal    |
| newsletters_drsaude           |
| newsletters_edp5d             |
| newsletters_europassistance   |
| newsletters_exchange          |
| newsletters_experimentapascoa |
| newsletters_ezalo             |
| newsletters_fiducial          |
| newsletters_geral             |
| newsletters_geralnovis        |
| newsletters_guardsat          |
| newsletters_homecare          |
| newsletters_myjobs            |
| newsletters_optimus           |
| newsletters_optimus_a         |
| newsletters_optimushome       |
| newsletters_optimushomerec    |
| newsletters_optimuspopular    |
| newsletters_poupardinheiro    |
| newsletters_readersdigest     |
| newsletters_saudedirect       |
| newsletters_saudefinance      |
| newsletters_tele2             |
| newsletters_testes            |
| newsletters_unibanco          |
| newsletters_unibanco_classico |
| newsletters_unibanco_mini     |
| newsletters_users             |
| pharmahouse                   |
| projectos                     |
| sites_includes                |
| tele2_coberturas              |
+-------------------------------+
43 rows in set (0.14 sec)

Reparem nos nomes de algumas das bases de dados albergadas por estes senhores a quem a Optimus contratou o serviço. Provavelmente há ali informação extremamente valiosa para spam, phishing e sabe-se lá mais o quê.

Só que agora quem é que vai ser responsabilizado? Os incompetentes ou quem conseguiu aceder e executar este comando?

Pela lei do crime informático, quem conseguiu aceder e executar o comando cometeu um crime. Mas vamos ser realmente honestos: a irresponsabilidade revelada por estes incompetentes é muito mais criminosa, uma vez que albergam dados pessoais e evidentemente não tomam os cuidados necessários para impedir a sua divulgação ilegítima, que sem dúvida deve ser considerada para efeitos práticos como tendo sido distribuída por pessoas com fins menos legítimos.

Os clientes que sabem ter dados pelas entidades relacionadas deveriam exigir explicações às entidades relacionadas…

Tags: Rosnados, Tecnologia