: Característica ruim expõe os dados dos boletos dos clientes da HostGator Brasil -

Ir para

Sugestões & Criticas

Estamos constantemente trabalhando para oferecer um serviço de qualidade para você, nosso cliente. Nesta seção você poderá criar um tópico com suas sugestões e críticas construtivas.
Página 1 de 1

Característica ruim expõe os dados dos boletos dos clientes da HostGator Brasil Os dados dos boletos dos clientes são expostos.

#1 Membro offline   Dadeke 

  • Novato
  • Grupo: Membros
  • Posts: 2
  • Cadastrado: 16-outubro 14

Postou 16 outubro 2014 - 10:54

Bom dia a todos,

Existe uma característica crítica no sistema financeiro da HostGator - https://financeiro.hostgator.com.br onde é possível visualizar os boletos de cobrança dos clientes do Brasil.

Isso é possível através do incremento do variável "invoiceid" que é passado através de query string. Vejam abaixo:

https://financeiro.h...voiceid=1000000
https://financeiro.h...voiceid=1000001
https://financeiro.h...voiceid=1000002
https://financeiro.h...voiceid=1000003
https://financeiro.h...voiceid=1000004
https://financeiro.h...voiceid=1000005


É um erro básico de segurança. Corrijam isso! Imagem
0

#2 Membro offline   Andre Luiz 

  • Monitoring Analyst
  • Grupo: Gerência
  • Posts: 4
  • Cadastrado: 11-janeiro 13

Postou 16 outubro 2014 - 12:13

Prezado(a),

Obrigado pelo contato! Informamos que já estamos cientes deste bug e possuímos uma equipe que esta trabalhando para resolver esta situação o mais breve possível.

Caso tenha maiores dúvidas, entre em contato conosco através de nossos canais de atendimento.
Imagem
HostGator Brasil - A escolha de mais de 9 milhões de domínios em todo o mundo!
Site | Hospedagem de Sites | Revenda | VPS | Dedicados | Plus | Streaming | Domínio | Suporte | Afiliados
0

#3 Membro offline   Isleno 

  • Novato
  • Grupo: Membros
  • Posts: 1
  • Cadastrado: 24-maio 12
  • Domínio:www.genesiseries.com

Postou 11 janeiro 2015 - 01:33

Isso não é um bug, é uma caracteristica.
O sistema deles foi feito assim, para os boletos gerados serem acessiveis pelo navegador a todos mas ainda assim é perigoso e ainda é crime, pois divulga informações alheias e privadas que deveriam pertencer somente o cliente, como o endereço e nome completo.

Custaria muito pagar um desenvolvedor para deixar esses boletos privados sendo gerados diretamente no painel de controle de cliente?
Somente agora que sai da hostgator é que consegui ver o quanto os dados do cliente são importantes para eles, eu avisei isso em 2012 e fiquei até dezembro de 2014 com a hostgator (mes passado) nunca consertaram. E não vão consertar, nem se preocupe.

Abraço
0

#4 Membro offline   Dadeke 

  • Novato
  • Grupo: Membros
  • Posts: 2
  • Cadastrado: 16-outubro 14

Postou 13 março 2015 - 10:48

Ver postIsleno, em 11 janeiro 2015 - 02:33, disse:

Isso não é um bug, é uma caracteristica.
O sistema deles foi feito assim, para os boletos gerados serem acessiveis pelo navegador a todos mas ainda assim é perigoso e ainda é crime, pois divulga informações alheias e privadas que deveriam pertencer somente o cliente, como o endereço e nome completo.

Custaria muito pagar um desenvolvedor para deixar esses boletos privados sendo gerados diretamente no painel de controle de cliente?
Somente agora que sai da hostgator é que consegui ver o quanto os dados do cliente são importantes para eles, eu avisei isso em 2012 e fiquei até dezembro de 2014 com a hostgator (mes passado) nunca consertaram. E não vão consertar, nem se preocupe.

Abraço


Realmente não é um bug.
"Bugs" são erros causados dentro de um software por diversos motivos. E neste caso o sistema não está gerando nenhum erro.

O post foi editado para "característica". Obrigado. Imagem

A solução mais simples para resolver esse problema de segurança seria gerar cada URL de modo privado através um token que é passado via "query string".
Exemplo junto com outras soluções: http://stackoverflow...e-a-private-url
0

#5 Membro offline   MatheusMB 

  • Novato
  • Grupo: Membros
  • Posts: 1
  • Cadastrado: 21-agosto 17
  • Domínio:http://hpteam.com.br

Postou 21 agosto 2017 - 06:03

O site http://whois.domaintools.com/ expõe as informações como CPF de qualquer pessoa que tenha site na hostgator
0

Compartilhar este tópico:


Página 1 de 1


Resposta rápida

  

1 usuário(s) está(ão) lendo este tópico
0 membro(s), 1 visitante(s) e 0 membros anônimo(s)