June 3, 2026
BAC na plataforma DevHub (algoritmoecafe.com)
Durante uma análise da plataforma DevHub, identifiquei uma falha de controle de acesso que permitia utilizar recursos exclusivos para…
Lourenco Diogo
Author
Durante uma análise da plataforma DevHub, identifiquei uma falha de controle de acesso que permitia utilizar recursos exclusivos para alunos pagantes sem possuir uma compra válida.
A API retornava o seguinte estado para usuários sem acesso:
{
"hasAccess": false,
"hasPurchase": false,
"subscriptionStatus": "inactive"
}{
"hasAccess": false,
"hasPurchase": false,
"subscriptionStatus": "inactive"
}O problema era que a aplicação cliente confiava nesses indicadores para liberar funcionalidades, caracterizando uma falha de Broken Access Control.
Apenas mudando o response da requisição para:
{
"hasAccess": true,
"hasPurchase": true,
"subscriptionStatus": "active"
}{
"hasAccess": true,
"hasPurchase": true,
"subscriptionStatus": "active"
}Era possível ter acesso completo a plataforma.
Como consequência, um usuário sem compra válida conseguia acessar áreas restritas da plataforma e publicar conteúdo.
Impacto
- Acesso não autorizado a conteúdo pago
- Quebra da lógica de licenciamento
- Possibilidade de visualização e criação de posts sem autorização
Correção
A autorização deve ser validada exclusivamente no backend. O frontend não deve ser considerado uma fonte confiável para decisões de acesso. Após o reporte, a falha aparenta ter sido corrigida e não foi mais observada durante verificações posteriores.
Classificação: Broken Access Control (OWASP Top 10) Severidade: Alta