quarta-feira, 31 de julho de 2013

Falha em site da TelexFree expõe dados dos divulgadores

Um especialista de segurança encontrou uma falha no site da TelexFree que permite visualizar todos os dados dos usuários.
Os dados podem ser acessados pela internet sem dificuldades. Para estar disponível basta que o usuário tenha comprado um produto da TelexFree e gerado um boleto de pagamento online.
A falha foi identificada por acaso pelo desenvolvedorManoel Netto, quando pesquisava no Google pelo CNPJ da empresa após saber da mudança para S/A.

“Digitei no Google ‘telexfree impactos cnpj’ e para minha surpresa apareceu um boleto entre os resultados. Quando cliquei vi que era de um cliente e só precisei modificar o número do ID na URL para checar os dados de todos os outros usuários”, disse Netto.

Segundo Netto, mais de 9 milhões de IDs estariam disponíveis na internet sem nenhum tipo de proteção de segurança. “Até os dados completos do diretor de marketing da TelexFree, Carlos Costa, foi possível encontrar”, afirmou.
O problema é que a URL que gera os boletos online do Banco do Brasil é sequencial e pode ser encontrada facilmente em pesquisas no Google. Entre os dados expostos estão nome completo, endereço completo e valor pago.

De acordo com Netto, pessoas mal intencionadas podem gerar um script para capturar todos os dados do consumidor e utilizar as informações por conta própria. “Por isso não me admira tantas reclamações de ‘dinheiro que sumiu’”, disse.

Para Netto a falha poderia ter sido evitada facilmente com o uso de técnicas de proteção de dados sensíveis online. “Qualquer programador poderia ter evitado isso”, afirma.
Netto afirmou que tentou entrar em contato com a empresa por e-mail e pela fanpage no Facebook, mas não teve retorno. INFO tentou entrar em contato com a TelexFree, mas também não obteve resposta até o fechamento desta matéria. Monica Campi,de INFO Online

Nenhum comentário:

Postar um comentário