kauã

>credencial vazada no osintleak há pelo menos meia década >senha é o proprio cpf do usuario >sem MFA, sem whitelist de IP, sem exigir VPN pra acessar, sem alerta de novo dispositivo, sem politica de troca de senha, sem rate-limiting, sem nenhuma confirmação antes de enviar o alerta >captcha era literalmente "2+2=?" no HTML, trivial de burlar >site com debug mode ativo, cospe parte do código fonte, da query feita no pgsql e as variaveis de ambientes (tb com creds internas) na tela de erro 5xx >SQLi e xss em literalmente qualquer parametro >js com lista de endpoints e arquivos acessíveis >nível easy se fosse no hack the box >o cara não manja absolutamente nada de programação ou hacking >nem se deu o trabalho de fuçar os requests do site pra procurar algo mais cabuloso (q nao duvido nada que encontraria) >nem é script kiddie pq ele mesmo afirma q não manja nada >simplesmente logou com login e senha (q estavam publicamente acessíveis) e usou o site como um operador normal >menor de idade, agiu sozinho, sem intuito de obter, adulterar ou destruir dados vai dar em nada 😹 o 'ataque' foi absolutamente trivial, qualquer pessoa leiga curiosa conseguiria achar essas credenciais em bot de telegram e logar no site o que me surpreende de fato é uma infraestrutura dessas, com acesso a esse tipo de funcionalidade, ter esse nível pífio de segurança e na real eu nem sei pq eu to surpreendido. nao dá pra esperar nada diferente disso vindo do governo