.
O proprietário do sistema de gerenciamento de lojas de comércio eletrônico OpenCart respondeu com hostilidade a um pesquisador de segurança que revelou uma vulnerabilidade no produto.
O testador de penetração Mattia Brollo chamou a atenção do OpenCart para uma vulnerabilidade de injeção de código estático ao abrir uma edição do GitHub em 14 de outubro, apenas para receber inúmeras respostas desdenhosas e ofensivas de Daniel Kerr, proprietário do OpenCart.
Antes do envolvimento de Kerr, Brollo afirma que passou quase um mês tentando entrar em contato com o OpenCart por meio de canais oficiais, como suporte e e-mails para webmasters, e o fórum oficial do OpenCart, sem receber resposta.
Em 10 de novembro, o Banco de Dados Nacional de Vulnerabilidades reconheceu formalmente a descoberta de Brollo, que Kerr mais tarde chamaria de “não vulnerabilidade”, e agora é rastreada como CVE-2023-47444 – um problema classificado como quase crítico com uma pontuação de gravidade de 8,8. na escala CVSS 3.
Como último recurso para resolver o problema, Brollo diz que tentou novamente entrar em contato com os administradores por meio dos fóruns do OpenCart. Um dia depois, Kerr deu sua primeira resposta por e-mail, dizendo: “Você é uma porra de uma perda de tempo!”, De acordo com uma captura de tela que Brollo compartilhou em seu blog de divulgação, que foi publicada três dias após o e-mail de Kerr.
Naquele mesmo dia, Brollo acessou o GitHub do OpenCart e abriu uma solicitação pull com um hotfix para o problema, mas o administrador do OpenCart fechou-o imediatamente, marcando-o como spam e “não vulnerabilidade”.
Nos comentários do pull request, Kerr respondeu a Brollo rotulando-o como “apenas mais um palhaço”. Isso foi antes de marcar ele e outro usuário que destacou um problema de sequestro de sessão que afetava as versões do OpenCart também vulneráveis à falha de injeção de código, validando a seriedade do relatório de Brollo, dizendo-lhes para “FODER-SE”.
A conversa inteira pode ser visualizada na discussão de pull request do GitHub, vale a pena ler. O comentário final é um belter carregado de palavrões.
Kerr acabou fundindo a correção com o branch master do OpenCart um dia depois.
Strong The One abordou o OpenCart para comentar, mas não recebeu resposta.
O incidente se assemelha a um caso semelhante que remonta a 2012, quando membros da comunidade infosec em diversas ocasiões chamaram a atenção do OpenCart para suas práticas inseguras de hash de senha.
Os relatórios da época foram rejeitados pelos administradores da Kerr e do OpenCart, com vários graus de educação.
Em 2012, o OpenCart estava usando o algoritmo de hash MD5 sem sal para armazenar senhas de usuários – uma implementação que abriria os usuários das lojas OpenCart a ataques simples que retornariam senhas em texto simples.
Strong The One já estava escrevendo sobre como o algoritmo mostrava sua idade três anos antes.
Um administrador do OpenCart respondeu: “Há uma razão para eu usar md5. É para que as pessoas possam redefinir suas senhas de administrador sem precisar se lembrar do que havia sal. E os hackers realmente precisam acessar o banco de dados para obter as tabelas!” [sic]
Os espectadores foram forçados a explicar por que deveriam ser implementadas alternativas para aumentar o nível de segurança das senhas para um padrão aceitável.
“Sua falta de cuidado com o assunto ou talvez de compreensão é chocante”, disse um usuário.
O mesmo tópico ocorreu um ano depois, em 2013, depois que o OpenCart mudou para um algoritmo SHA1 com salt, e novamente em 2014 – em ambos os threads, os usuários destacaram a vulnerabilidade do algoritmo a ataques de força bruta baseados em GPU.
Kerr respondeu aos usuários, que sinalizaram questões relacionadas aos métodos de geração de sais e ao baixo número de iterações de seu algoritmo SHA1, inicialmente questionando sua experiência. Ele então pareceu aceitar o feedback, fazendo alterações de acordo com as recomendações da comunidade, antes de encerrar a discussão novamente e chamá-la de “uma perda de tempo”.
Ao longo de 2014, foram feitas inúmeras tentativas de destacar pontos fracos nas práticas de criptografia do OpenCart, muitas das quais foram rejeitadas por Kerr.
“Sugiro que você pare de postar esses relatórios”, respondeu ele em outra discussão. “Existem diferentes argumentos a favor e contra diferentes tipos de algoritmos de criptografia. O fato é que o sistema atual é seguro o suficiente para os propósitos dos usuários do OpenCart!”
O sistema de gerenciamento de lojas de comércio eletrônico de código aberto foi fundado em 2005 e já foi utilizado por 450 mil empresas, segundo entrevista concedida por Kerr em 2019. Embora seu site oficial indique que em janeiro deste ano, 347 mil comerciantes usavam a plataforma.
Os principais concorrentes incluem empresas como WooCommerce, Shopify e Squarespace – todas elas com uma participação de mercado significativamente maior em comparação com OpenCart, de acordo com dados do Statista. ®
.
