O especialista em segurança Manoel Netto identificou uma falha no site da Telexfree que permite que qualquer pessoa acesse com facilidade dados dos usuários da página. Os dados disponíveis na internet são de pessoas que compraram algum produto da empresa e emitiram o boleto de pagamento através do site.
Netto encontrou a falha no site sem querer ao buscar no Google informações do CNPJ da Telexfree assim que soube da mudança da companhia para S/A. "Digitei no Google 'telexfree impactos cnpj' e para minha surpresa apareceu um boleto entre os resultados. Quando cliquei, vi que era de um cliente e só precisei modificar o número de ID da URL para checar os dados de todos os outros usuários", afirmou o especialista à Info, revelando também que cerca de 9 milhões de IDs estariam disponíveis na internet sem proteção alguma.
O bug está relacionado ao fato de que o endereço de URL que é responsável pela geração de boletos bancários do Banco do Brasil no site é sequencial e pode ser encontrado facilmente em pesquisas na internet. Os dados dos usuários que podem ser visualizados com facilidade são nome completo, endereço e o valor pago pelo produto adquirido da Telexfree.
No site Tecnocracia, onde o especialista publicou a sua descoberta pela primeira vez, Netto acrescentou uma atualização em seu post na manhã desta quarta-feira (31) afirmando que depois que o caso foi repercurtido por alguns sites de tecnologia, a Telexfree tomou providências e, agora, não é mais possível a visualização dos boletos, mas eles ainda continuam disponíveis no cache do Google e a biblioteca usada também permanece ativa.
Fonte: Canaltech
Nenhum comentário:
Postar um comentário