Nesta quinta-feira (17), chega ao fim a 12ª temporada de ‘A Fazenda‘, o reality show que causou um tremendo sucesso na Record TV. No entanto, com a grande repercussão, surgiram também vários questionamentos quanto a segurança na votação do reality rural. Questionado por muitos fãs do programa, o especialista em teste de vulnerabilidades em aplicações web, Gabriel Pato, confirmou que é possível manipular os votos do programa. A conclusão veio após os resultados de alguns testes executados no sistema de votação do Portal R7.
Em seu canal no YouTube, ele mostra como funciona o teste, partindo de uma votação normal. Como todos já sabem, basta apenas acessar o portal do Grupo Record, ir até a página do programa, escolher o participante e clicar nele, que o site já mostra a confirmação do voto. A dinâmica ainda permite votar quantas vezes quiser no seu participante favorito.
Assim, algumas diferenças em relação a outro reality muito conhecido da TV, o BBB, ficam bem visíveis. A primeira, é que o usuário não precisa fazer um login na sua conta para poder votar. Então um usuário anônimo, não autenticado, consegue entrar no site e concluir seu voto. A segunda, é que a votação não apresenta nenhum reCAPTCHA visível. Ou seja, o usuário não precisa fazer nenhum desafio para provar que é um humano e não um robô.
Entendendo a votação
Segundo Gabriel Pato, o R7 utiliza um request (requisição) que retorna os detalhes da votação, como quem está participando, o nome, link das fotos e seus respectivos Id. Ao votar em um participante é gerado um novo request que faz o servidor computar o voto. Ele é um post onde são enviados dois parâmetros: um contém o Id do participante em quem o usuário votou, e o outro contém o Id da votação.
Existe alguma segurança?
Nos testes realizados pelo especialista, foi possível observar que o Portal R7 utiliza o serviço da empresa Akamai, uma gigante em segurança digital. Este serviço fica entre os servidores de A Fazenda e o visitante, filtrando o tráfego que vai para o site. Assim, eles conseguem adicionar recursos de segurança. E uma das camadas que a Akamai BR utiliza é a verificação por bots. No entanto, Gabriel afirma que pelos teste executados, o recurso não parece estar sendo utilizado ou sequer foi configurado pelo R7.
Há ainda um outro famoso recurso, o reCAPTCHA do Google, mas apesar de estar implementado no sistema, ele está desativado.
De acordo com o especialista em vulnerabilidades de aplicações web, sem esses recursos seria possível mandar uma chuva de request de votos. Porém, um recurso da Akamai está ativo, o Rate Limiting, que estabelece um limite de request a ser enviado para o servidor em um determinado intervalo de tempo. Pelo teste executado, para que o servidor não bloqueie o usuário, o intervalo seria de 1 voto a cada 0,6 segundos. Então se um bot rodar a cada 0,6 segundos, os votos seriam computados sem tomar nenhum bloqueio.
Pato conclui que, se for considerado o tempo de conexão ao servidor e o processamento do request, utilizando o intervalo de 0,6 segundos entre eles, um único endereço ip pode gerar cerca de 5.100 mil votos por hora. Esse teste foi executado pensando em alguém com apenas um único ip. Mas certamente, quem tem o interesse da manipular os votos, pode utilizar de vários IPs com ajuda de Proxys que existem por aí.
Página maliciosa
Ao assistir o vídeo do teste, o usuário pode se chocar com outra constatação. Segundo Gabriel, por utilizar um requeste para gerar os votos extremamente simples sem token, sem captcha e nenhuma uma informação que mude, até mesmo uma página falsa pode acabar manipulando os resultados da votação de A Fazenda.
Essa página faz com que o navegador de quem acessar, envie um post para o servidor de votação de A Fazenda, contendo os parâmetros do request que são necessários para o voto ser computado. Uma ação completamente invisível para o usuário.
O outro lado
O Portal Alta Definição procurou a assessoria do Portal R7 que afirmou ter toda atenção na segurança: “Temos todos os processos de segurança e um departamento inteiro atuando no BI, com toda atenção na segurança. Temos a última versão e a mais moderna neste quesito, que barra bots e trabalha apenas com votos válidos“. A assessoria informou também que a direção da área técnica enviaria um posicionamento mais detalhado, mas até o fechamento desta matéria não obtivemos nenhuma outra resposta.
Assista ao teste do especialista Gabriel Pato:
Lembrando que, esta matéria não tem nenhuma intenção de incentivar a manipulação dos votos de ‘A Fazenda’. Nosso intuito e colaborar para um sistema mais justo e transparente de um programa tão amado pelo público. O Portal Alta Definição é totalmente contrário a qualquer tipo de manipulação de votos ou intervenção nos reality shows.
Leia também: A Fazenda 12: Quarto colocado será anunciado logo no início da final