Falha grave em site da TelexFree expõe dados dos usuários
Um especialista de segurança encontrou uma falha no site da TelexFree que permite visualizar todos os dados dos usuários.
CLIC NA IMAGEM PARA AMPLIAR |
Os dados podem ser
acessados pela internet sem dificuldades. Para estar disponível basta
que o usuário tenha comprado um produto da TelexFree e gerado um boleto
de pagamento online .
A falha foi
identificada por acaso pelo desenvolvedor Manoel Netto, quando
pesquisava no Google pelo CNPJ da empresa após saber da mudança para
S/A.
“Digitei no Google
‘telexfree impactos cnpj’ e para minha surpresa apareceu um boleto entre
os resultados. Quando cliquei vi que era de um cliente e só precisei
modificar o número do ID na URL para checar os dados de todos os outros
usuários”, disse Netto.
Segundo Netto, mais de 9 milhões de IDs estariam disponíveis na internet sem nenhum tipo de proteção de segurança. “Até os dados completos do diretor de marketing da TelexFree, Carlos Costa, foi possível encontrar”, afirmou.
O problema é que a
URL que gera os boletos online do Banco do Brasil é sequencial e pode
ser encontrada facilmente em pesquisas no Google. Entre os dados
expostos estão nome completo, endereço completo e valor pago.
De acordo com
Netto, pessoas mal intencionadas podem gerar um script para capturar
todos os dados do consumidor e utilizar as informações por conta
própria. “Por isso não me admira tantas reclamações de ‘dinheiro que sumiu’”, disse.
Para Netto a falha poderia ter sido evitada facilmente com o uso de técnicas de proteção de dados sensíveis online. “Qualquer programador poderia ter evitado isso”, afirma.
Netto afirmou que
tentou entrar em contato com a empresa por e-mail e pela fanpage no
Facebook, mas não teve retorno. INFO tentou entrar em contato com a
TelexFree, mas também não obteve resposta até o fechamento desta
matéria.
Com Informações da INFO Abril
Nenhum comentário:
Postar um comentário