A brecha permite que os documentos sejam encontrados até por meio de uma pesquisa no Google e consiste em uma URL aberta (um link de internet desprotegido). Falha semelhante foi verificada no site do Moip, que presta serviços de pagamento on-line para diversas empresas, e permitia ver o mesmo tipo de dado
penso aqui com os meus botoes. seria possivel mitigar isso simplesmente editando a robots.txt file, excluindo as url's com Disallow:, correto?
A parte da pesquisa seria resolvida dessa maneira sim, mas o maior bug nesses casos reportados estava no fato de os códigos de acesso serem sequenciais e nao estarem amarrados ao cpf do cliente, entao bastaria um acesso valido para acessar todos os registros do banco, só precisando incrementar os códigos, um loop basico.
O problema eh mais em baixo. O problema todo eh que essas instituições NAO consideram que isso seja uma falha de segurança, pois nao há comprometimento de transações financeiras. Do ponto de vista do banco, ele nao será afetado, então nao precisa se preocupar. O problema todo eh que o banco nao tem nenhum compromisso em garantir a privacidade dos seus clientes, e nem eh obrigado a isso por lei.
Eles nao vão se preocupar em "fechar" esses furos nunca porque nao existe incentivo, nem legal, nem econômico.