Dataprev vai contratar ‘hackers do bem’ para testar aplicações na internet

A Dataprev abriu uma consulta pública para a contratação de empresa para proceder a 12 testes e 12 retestes de intrusão para 12 aplicações disponibilizadas na internet, que ficam hospedadas nos data centers da Dataprev no Rio de Janeiro, São Paulo e Distrito Federal. 

As 12 aplicações pertencem ao ambiente de produção e homologação. Não haverá testes em aplicações móveis e wireless, nem em APIs ou análise de código fonte das aplicações.

Como aponta a estatal, os objetivos dos testes serão o de testar e aperfeiçoar os controles de segurança implementados e aumentar o grau de maturidade da equipe de segurança para ações na infraestrutura da Dataprev, de acordo com as lições aprendidas com os resultados dos testes. 

Os ataques incluem SQL Injection, Directory Transversa, Buffer Overflow, Remote Code Inclusion, File Disclosure, Sequestro de Conexões,, Brute Force Login, Descoberta de Credenciais, Eavesdropping, Escalonamento de privilégios, Defacement, PHP Injection, Command Injection Script Injection, Misconfiguration, Server Side Includes (SSI) Injection, Information Leakage, Zero day attacks, Comprometimento do acesso remote, Encobrimento de rastros da invasão, Vírus, Worms e Cavalos de Tróia, etc. 

O cronograma da consulta prevê recebimento de eventuais questionamentos e/ou solicitações de esclarecimentos até 5 de agosto, com a divulgação no site dos questionamentos recebidos e respectivas respostas em 19/8. As inscrições dos interessados na participação da videoconferência com as equipes técnicas e de licitação para dirimir possíveis dúvidas devem ser realizadas pelo email consultapublica.dataprev@dataprev.gov.br ou por telephone (21 3616-7000), até 23 de agosto. A videoconferência será em 25 de agosto. 

A divulgação do Termo de Referência com alterações, se necessárias, será em 16 de setembro. E o encaminhamento das Propostas contendo as respectivas Estimativas de Preços em conformidade com o Termo de Referência eventualmente ajustado em decorrência de questionamentos e/ou solicitações de esclarecimentos apresentados, até 23 de setembro.