Um especialista de segurança encontrou uma falha no site da TelexFree que permite visualizar todos os dados dos usuários.
 |
| CLIC NA IMAGEM PARA AMPLIAR |
Os dados podem ser acessados pela internet sem dificuldades. Para estar disponível basta que o usuário tenha comprado um produto da TelexFree e gerado um boleto de pagamento online .
A falha foi identificada por acaso pelo desenvolvedor Manoel Netto, quando pesquisava no Google pelo CNPJ da empresa após saber da mudança para S/A.
“Digitei no Google ‘telexfree impactos cnpj’ e para minha surpresa apareceu um boleto entre os resultados. Quando cliquei vi que era de um cliente e só precisei modificar o número do ID na URL para checar os dados de todos os outros usuários”, disse Netto.
Segundo Netto, mais de 9 milhões de IDs estariam disponíveis na internet sem nenhum tipo de proteção de segurança. “Até os dados completos do diretor de marketing da TelexFree, Carlos Costa, foi possível encontrar”, afirmou.
O problema é que a URL que gera os boletos online do Banco do Brasil é sequencial e pode ser encontrada facilmente em pesquisas no Google. Entre os dados expostos estão nome completo, endereço completo e valor pago.
De acordo com Netto, pessoas mal intencionadas podem gerar um script para capturar todos os dados do consumidor e utilizar as informações por conta própria. “Por isso não me admira tantas reclamações de ‘dinheiro que sumiu’”, disse.
Para Netto a falha poderia ter sido evitada facilmente com o uso de técnicas de proteção de dados sensíveis online. “Qualquer programador poderia ter evitado isso”, afirma.
Netto afirmou que tentou entrar em contato com a empresa por e-mail e pela fanpage no Facebook, mas não teve retorno. INFO tentou entrar em contato com a TelexFree, mas também não obteve resposta até o fechamento desta matéria.
Com Informações da INFO Abril
Nenhum comentário:
Postar um comentário