Mudei um parâmetro na URL e vi o dado de outro aluno

Outro dia — pra não dizer que faz um tempão, rsrs — eu tava tentando renovar a matrícula no site da minha academia. Era um daqueles sistemas simples que toda academia usa pra liberar a catraca e mostrar o boleto. Parecia inofensivo.
Aí eu reparei na URL: gigante, mas com cada parâmetro fácil de entender. E veio aquele pensamento que todo dev conhece: "o que será que acontece se eu trocar esse valor aqui por esse outro?".
Troquei. E, em vez de uma página de erro, adivinha? Apareceu o dado de outro aluno. Do nada. Eu, tranquilamente, logado como outra pessoa.
Mas aí caiu a ficha: se EU cheguei nisso sem querer, qualquer um chega de propósito.
O que eu encontrei quando olhei com calma
- O ID do aluno vinha exposto direto na URL, sem nenhuma checagem de quem estava logado. Só isso já me deu arrepio.
- Dava pra ver CPF e telefone de outras pessoas só trocando o número.
- Não havia limite de requisição — dava pra varrer a base inteira. (Foi aqui que eu percebi que tinha derrubado o site, rsrs.)
Isso tem nome: quebra de controle de acesso, o famoso IDOR. O sistema confia num identificador que vem do navegador e nunca pergunta "espera, esse usuário PODE ver isso?".
E não, não é caso isolado
Vejo relato de dado exposto exatamente assim direto em grupo de dev. E com IA cuspindo código em massa, muitas vezes sem ninguém revisar, isso só tende a aumentar.
Lição pra todos nós (principalmente quem tá começando e quem terceiriza sistema)
- Não confie no que vem do navegador. Validação de verdade é no servidor, sempre.
- Esconder o botão não é segurança. Se o dado existe na API, alguém acha.
- Contratou sistema? Pergunte como tratam autenticação e dados pessoais.
- LGPD não é enfeite — é multa.
No fim, segurança quase nunca é sobre um ataque genial. É sobre o básico que ninguém checou. E o básico, hoje, passa por assumir que tudo que sai do cliente pode ser mentira.
E você, que contrata dev ou usa IA pra gerar sistema: como tá checando se o que te entregaram é seguro?
Esse conteúdo foi originalmente publicado no LinkedIn.
Descubra para onde sua carreira está apontando
Faça o teste gratuito da Bússola do Dev e receba um diagnóstico completo sobre 6 dimensões da sua jornada profissional.
Você também pode gostar

Um problema de 2.300 anos pode, a qualquer momento, quebrar a internet

Uma simples falta de padronização pode virar uma brecha de segurança

Seu celular não te escuta — o rastreamento de dados é pior que isso
Tem algo para compartilhar?
O GPS do Dev é um espaço aberto para quem tem reflexões sobre carreira, liderança, produtividade ou o lado humano da tecnologia. Publique com seu nome, seu perfil e alcance uma audiência que valoriza profundidade.

