Na mesma semana em que um apagão atingiu 18 Estados no Brasil, um blogueiro descobriu e relatou uma falha de segurança no site do Operador Nacional do Sistema (ONS), responsável por coordenar a estrutura que faz a geração e transmissão de energia elétrica no País. A falha já foi corrigida pelo órgão.

Na quinta-feira (12/11), Maycon Vitali relatou no blog Hack´n Roll sua experiência ao acessar o site da ONS e descobrir que um ataque do tipo "SQL injection" poderia ser feito a partir da tela de autenticação do Sistema de Administração de Contratos de Transmissão (SACT).

Mais sobre o apagão nacional
> Uso de celular congestiona redes
> Acesso a portais móveis cresce 4x
> Em 2 dias, Procon registra 329 casos

"Procurei algo que ligasse o site a uma tentativa de ataque e vi um sistema de controle. Percebi que havia um link para administração de contratos de transmissão, com necessidade de login e senha. Coloquei aspas simples no campo e deu crash para mim", relata Vitali.

Um ataque do tipo "SQL injection" permite que usuários maliciosos injetem "comandos de dados na aplicação para conseguir acesso a todas as informações que estão no banco de dados" mantidos pelas empresas com suas informações próprias, explica o diretor da Associação Brasileira de Segurança da Informação e colunista do IDG Now!, Denny Roger.

Segundo Roger, uma das formas de "dar um 'tranco' na aplicação para saber se a mesma está vulnerável" é inserir as aspas no campo de autenticação, método relatado por Vitali para descobrir a brecha no site da ONS.

O blogueiro explica que invasões de bancos de dados por meio de ataques do tipo "SQL injection" podem ser fáceis, dependendo da técnica explorada pelo invasor. "A (brecha) que divulguei é uma meio chata e difícil, mas não é impossível promover um ataque por ali".

Após a publicação da descoberta e da reverberação do post, a ONS corrigiu o problema. Vitali, porém, afirma que descobriu uma segunda falha - desta vez no mecanismo de recuperação de senha dos usuários cadastrados no sistema da ONS-, que já foi reportada ao órgão, mas ainda estava ativa na sexta-feira (13/11).

Procurado pela reportagem, o ONS afirmou "que não existe conexão do site com a rede de operação" e que os comandos são feitos por voz de uma usina para outra conectada ao Sistema Interligado Nacional (SIN).

O órgão afirmou que não houve invasão da rede de operação e não soube detalhar que tipo de informações ou ferramentas o ONS no sistema estavam com a brecha.

Em entrevista ao IDG Now! no dia seguinte ao apagão, o diretor do Departamento de Segurança da Informação e Comunicações da Presidência da República, Raphael Mandarino, minimizou a possibilidade de ataque à rede, embora tenha admitido que se trate de "um assunto que não se pode dizer 'não'".