FALHA EM SITE DA TELEXFREE EXPÕE DADOS DOS DIVULGADORES
Um especialista de segurança
encontrou uma falha no site da TelexFree que permite visualizar todos os dados
dos usuários. Os dados podem ser acessados pela internet sem dificuldades. Para
estar disponível basta que o usuário tenha comprado um produto da TelexFree e
gerado um boleto de pagamento online. A falha foi identificada por acaso pelo
desenvolvedorManoel Netto, quando pesquisava no Google pelo CNPJ da empresa
após saber da mudança para S/A. “Digitei no Google ‘telexfree impactos cnpj’ e
para minha surpresa apareceu um boleto entre os resultados. Quando cliquei vi
que era de um cliente e só precisei modificar o número do ID na URL para checar
os dados de todos os outros usuários”, disse Netto. Segundo Netto, mais de 9
milhões de IDs estariam disponíveis na internet sem nenhum tipo de proteção de
segurança. “Até os dados completos do diretor de marketing da TelexFree, Carlos
Costa, foi possível encontrar”, afirmou. O problema é que a URL que gera os
boletos online do Banco do Brasil é sequencial e pode ser encontrada facilmente
em pesquisas no Google. Entre os dados expostos estão nome completo, endereço
completo e valor pago. De acordo com Netto, pessoas mal intencionadas podem
gerar um script para capturar todos os dados do consumidor e utilizar as
informações por conta própria. “Por isso não me admira tantas reclamações de
‘dinheiro que sumiu’”, disse. Para Netto a falha poderia ter sido evitada
facilmente com o uso de técnicas de proteção de dados sensíveis online.
“Qualquer programador poderia ter evitado isso”, afirma. Netto afirmou que
tentou entrar em contato com a empresa por e-mail e pela fanpage no Facebook, mas
não teve retorno. INFO tentou entrar em contato com a TelexFree, mas também não
obteve resposta até o fechamento desta matéria. Fonte: AC 24Horas
Nenhum comentário
Postar um comentário