Um especialista de segurança encontrou uma falha no site da TelexFree que permite visualizar todos os dados dos usuários.
Os dados podem ser acessados pela internet sem dificuldades. Para estar
disponível basta que o usuário tenha comprado um produto da TelexFree e
gerado um boleto de pagamento online.
A falha foi identificada por acaso pelo desenvolvedorManoel Netto, quando pesquisava no Google pelo CNPJ da empresa após saber da mudança para S/A.
“Digitei no Google ‘telexfree impactos cnpj’ e para minha surpresa
apareceu um boleto entre os resultados. Quando cliquei vi que era de um
cliente e só precisei modificar o número do ID na URL para checar os
dados de todos os outros usuários”, disse Netto.
Segundo Netto, mais de 9 milhões de IDs estariam disponíveis na internet
sem nenhum tipo de proteção de segurança. “Até os dados completos do
diretor de marketing da TelexFree, Carlos Costa, foi possível
encontrar”, afirmou.
O problema é que a URL que gera os boletos online do Banco do Brasil é
sequencial e pode ser encontrada facilmente em pesquisas no Google.
Entre os dados expostos estão nome completo, endereço completo e valor
pago.
De acordo com Netto, pessoas mal intencionadas podem gerar um script
para capturar todos os dados do consumidor e utilizar as informações por
conta própria. “Por isso não me admira tantas reclamações de ‘dinheiro
que sumiu’”, disse.
Para Netto a falha poderia ter sido evitada facilmente com o uso de
técnicas de proteção de dados sensíveis online. “Qualquer programador
poderia ter evitado isso”, afirma.
Netto afirmou que tentou entrar em contato com a empresa por e-mail e
pela fanpage no Facebook, mas não teve retorno. INFO tentou entrar em
contato com a TelexFree, mas também não obteve resposta até o fechamento
desta matéria.
OBS: Não acessem pra não dar IBOP pra esses Portais de Notícias,
0 comentários:
Postar um comentário