Falhas em web apps da Johnson & Johnson expuseram estudantes e acesso administrativo
Aprofundamento CEVIU
Aprofundamento
Dois sistemas web da Johnson & Johnson foram comprometidos por falhas graves de autenticação. O primeiro, voltado para recrutamento em campi universitários, expôs dados de quase mil estudantes porque a biblioteca MSAL da Microsoft era manipulada no cliente e as APIs da AWS aceitavam uma chave hardcoded em vez de validar tokens. O segundo, o Audit Tracking Management System (ATMS), permitia acesso administrativo completo após spoofing simples de armazenamento local e geração manual de sessão, tudo porque suas APIs não exigiam autenticação real.
O ATMS, usado por 20 empresas do grupo J&J, devolvia listas com 13.600 funcionários sem qualquer verificação. O atacante simulou login de um admin encontrado na página de ajuda, injetou credenciais falsas no local storage e gerou um GUID de sessão via chamada direta à API. Em ambos os casos, a confiança cega no frontend, seja em tokens MSAL mal validados ou em chaves fixas, foi o ponto de falha central.
Por que isso importa
Esses vazamentos mostram como práticas básicas de segurança são ignoradas mesmo em grandes corporações. A exposição de estudantes pode levar a ataques de engenharia social direcionados. Já o acesso ao ATMS colocava em risco informações sensíveis de auditoria de múltiplas subsidiárias, incluindo transcrições e processos internos. Mais grave: a demora de seis meses para corrigir o problema no ATMS, só resolvida após pressão da imprensa, indica falha no processo interno de resposta a incidentes, um retrocesso claro em relação ao bom histórico da empresa em 2024.
Linha do tempo
Pesquisador relata vulnerabilidade anterior à JnJ e tem experiência positiva com a equipe de segurança.
Vulnerabilidades no sistema de recrutamento e no ATMS são reportadas ao programa de divulgação responsável da JnJ.
Falha no site de recrutamento é corrigida.
Após meses de inatividade, JnJ corrige a falha crítica no ATMS, dias após contato da imprensa.
Pesquisador publica detalhes técnicos das falhas nos sistemas web da Johnson & Johnson.
Perguntas frequentes
Como foi possível acessar o sistema de recrutamento sem ser funcionário?
O sistema usava a MSAL apenas no frontend. Ao modificar o código para simular um login bem-sucedido, o atacante contornou a autenticação. Como as APIs da AWS não validavam o token real e aceitavam uma chave hardcoded, o acesso aos dados dos estudantes ficou totalmente exposto.
Por que o ATMS foi mais fácil de explorar?
Todas as APIs do ATMS eram acessíveis sem autenticação. Basta encontrar um usuário válido, neste caso, um administrador listado na página de ajuda, e forjar manualmente uma sessão com dados inseridos no local storage e um GUID obtido via requisição direta. Nenhum fator adicional de segurança foi exigido.
A Johnson & Johnson já resolveu os problemas?
Sim. O sistema de recrutamento foi corrigido em outubro de 2025, substituindo a chave hardcoded pela autenticação com token Bearer. O ATMS só foi corrigido em abril de 2026, meses após o pesquisador acionar um jornalista. Ambos os pontos críticos foram sanados, mas com atraso inaceitável no segundo caso.
Quais lições as empresas podem tirar desse caso?
Nunca confie exclusivamente na autenticação do lado do cliente. Todos os endpoints de API devem validar tokens no servidor. Além disso, subsistemas internos não podem ter menos proteção que aplicações públicas. Falhas óbvias como chaves hardcodadas ou APIs abertas são inaceitáveis em ambientes corporativos.
Fontes
- eaton-works.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 25 de junho de 2026
- Editoria
- CEVIU Segurança da Informação