A brecha permite que os documentos sejam encontrados até por meio de uma pesquisa no Google e consiste em uma URL aberta (um link de internet desprotegido). Falha semelhante foi verificada no site do Moip, que presta serviços de pagamento on-line para diversas empresas, e permitia ver o mesmo tipo de dado
penso aqui com os meus botoes. seria possivel mitigar isso simplesmente editando a robots.txt file, excluindo as url's com Disallow:, correto?
A parte da pesquisa seria resolvida dessa maneira sim, mas o maior bug nesses casos reportados estava no fato de os códigos de acesso serem sequenciais e nao estarem amarrados ao cpf do cliente, entao bastaria um acesso valido para acessar todos os registros do banco, só precisando incrementar os códigos, um loop basico.