SegurançaEngenharia

Mudei um parâmetro na URL e vi o dado de outro aluno

Ronald Araújo
Ronald Araújo
·2 min de leitura

Outro dia — pra não dizer que faz um tempão, rsrs — eu tava tentando renovar a matrícula no site da minha academia. Era um daqueles sistemas simples que toda academia usa pra liberar a catraca e mostrar o boleto. Parecia inofensivo.

Aí eu reparei na URL: gigante, mas com cada parâmetro fácil de entender. E veio aquele pensamento que todo dev conhece: "o que será que acontece se eu trocar esse valor aqui por esse outro?".

Troquei. E, em vez de uma página de erro, adivinha? Apareceu o dado de outro aluno. Do nada. Eu, tranquilamente, logado como outra pessoa.

Mas aí caiu a ficha: se EU cheguei nisso sem querer, qualquer um chega de propósito.

O que eu encontrei quando olhei com calma

  • O ID do aluno vinha exposto direto na URL, sem nenhuma checagem de quem estava logado. Só isso já me deu arrepio.
  • Dava pra ver CPF e telefone de outras pessoas só trocando o número.
  • Não havia limite de requisição — dava pra varrer a base inteira. (Foi aqui que eu percebi que tinha derrubado o site, rsrs.)

Isso tem nome: quebra de controle de acesso, o famoso IDOR. O sistema confia num identificador que vem do navegador e nunca pergunta "espera, esse usuário PODE ver isso?".

E não, não é caso isolado

Vejo relato de dado exposto exatamente assim direto em grupo de dev. E com IA cuspindo código em massa, muitas vezes sem ninguém revisar, isso só tende a aumentar.

Lição pra todos nós (principalmente quem tá começando e quem terceiriza sistema)

  • Não confie no que vem do navegador. Validação de verdade é no servidor, sempre.
  • Esconder o botão não é segurança. Se o dado existe na API, alguém acha.
  • Contratou sistema? Pergunte como tratam autenticação e dados pessoais.
  • LGPD não é enfeite — é multa.

No fim, segurança quase nunca é sobre um ataque genial. É sobre o básico que ninguém checou. E o básico, hoje, passa por assumir que tudo que sai do cliente pode ser mentira.

E você, que contrata dev ou usa IA pra gerar sistema: como tá checando se o que te entregaram é seguro?


Esse conteúdo foi originalmente publicado no LinkedIn.

Descubra para onde sua carreira está apontando

Faça o teste gratuito da Bússola do Dev e receba um diagnóstico completo sobre 6 dimensões da sua jornada profissional.

Você também pode gostar

Tem algo para compartilhar?

O GPS do Dev é um espaço aberto para quem tem reflexões sobre carreira, liderança, produtividade ou o lado humano da tecnologia. Publique com seu nome, seu perfil e alcance uma audiência que valoriza profundidade.

Quero publicar