Optimus, parte 2

30 Outubro 2007 Por Adriano Afonso

Caros Leitores

Obviamente, ao contrário do que alguns de vós poderiam pensar, sempre estive consciente dos meus actos e não me arrependo do que fiz, mas como é habito do povo português, este gosta de apontar, criticar e até dizimar, muitas vezes desconstrutivamente, sem saber a real veracidade dos factos.
Não estou a dizer que não gosto de ser criticado, muito pelo contrario, só não gosto de ser apontado por aquilo que não fiz, e tal como vós, trabalho na área das TIC, e sei muito bem o peso em cima dos ombros de um erro tão grave como foi o que foi exposto por mim. Já aprendi com erros semelhantes e agora aprendo com os erros dos outros!

Mas sejamos pragmáticos, o meu post contém toda a informação que SIMPLESMENTE me foi exposta, pelo meu amigo, e a mais outros tantos milhares de utilizadores provavelmente, não acredito que viesse parar somente ás minhas mãos por arte e graça do divino, e que eu tivesse sido o único a testar a ligação (se a optimus quiser, veja os logs de acesso ao mysql). O que eu fiz, muitos de vós gostariam de ter feito, só que eu tive a coragem e estou pronto a assumir as responsabilidades sobre isso, mas não me peçam para ficar incólume a uma situação que coloca em risco a privacidade de milhares de utilizadores. O que eu fiz é pouco grave, o erro do administrador, sim, esse é muito grave! Esse sim é um crime grave por negligência…

A minha principal intenção é denunciar um erro grave, e como qualquer pessoa com dois palmos de testa nesta área, enviei uma cópia do erro a todos os correios electrónicos disponíveis da optimus e outsourcers, responsáveis directamente ou indirectamente com o sítio da optimus, convém referir que ainda hoje estou a aguardar uma resposta (que na minha opinião deveria ter sido imediata).

Acedi à base de dados? Não, não cheguei a aceder mesmo, mas como é reportado nestes blog’s (aqui e aqui), alguém o deve ter feito, não sei se o fizeram com os dados que forneci, mas obviamente não iria colocar um exploid sem saber se era um dumie ou não! Afinal, até parece que há quem vá mais longe que eu!
Pior, no meu entender, apesar de o respeitar imenso, foi a gaffe do Fred, em pleno Barcamp assumir que “via” o que se passava dentro da sua aplicação “goplan”… mas como o Mário Martins disse e muito bem, “o grande espírito e um hacker é perceber que errou e precisamente melhorar para não mais errar, é a busca do conhecimento”

Se a optimus me instaurasse um processo seria optimus! Porquê? Seria a melhor forma de perguntar a um gigante nacional, qual a sua ética de colocar tão preciosos dados em tão irresponsável administrador, que ainda por cima cria passwords e logins com base do “abcd”!

Caro Mário Gamito, não quero dizer com isto que te entendi mal, compreendo perfeitamente a “tua revolta”. Provavelmente eu teria feito o mesmo, mas convém perceber que está aqui muito mais em jogo que um simples servidor e umas simples bd’s. Para mim é uma situação que tem que ser denunciada, e em Portugal só há uma maneira de o fazer… esfregar na cara!

Já agora não acredito que os leitores, visitantes e agregados do Prt.Sc sejam mal intencionados, acho é que coloquei exactamente no sítio certo.

PS: Adoro quando me comentam e não se identificam, a cobardia é tão bonita!