Os dados podem ser
acessados pela internet sem dificuldades. Para estar disponível basta
que o usuário tenha comprado um produto da TelexFree e gerado um boleto
de pagamento online .
A falha foi
identificada por acaso pelo desenvolvedor Manoel Netto, quando
pesquisava no Google pelo CNPJ da empresa após saber da mudança para
S/A.
“Digitei no Google
‘telexfree impactos cnpj’ e para minha surpresa apareceu um boleto entre
os resultados. Quando cliquei vi que era de um cliente e só precisei
modificar o número do ID na URL para checar os dados de todos os outros
usuários”, disse Netto.
Segundo Netto, mais de 9 milhões de IDs estariam disponíveis na internet sem nenhum tipo de proteção de segurança. “Até os dados completos do diretor de marketing da TelexFree, Carlos Costa, foi possível encontrar”, afirmou.
O problema é que a
URL que gera os boletos online do Banco do Brasil é sequencial e pode
ser encontrada facilmente em pesquisas no Google. Entre os dados
expostos estão nome completo, endereço completo e valor pago.
De acordo com
Netto, pessoas mal intencionadas podem gerar um script para capturar
todos os dados do consumidor e utilizar as informações por conta
própria. “Por isso não me admira tantas reclamações de ‘dinheiro que sumiu’”, disse.
Para Netto a falha poderia ter sido evitada facilmente com o uso de técnicas de proteção de dados sensíveis online. “Qualquer programador poderia ter evitado isso”, afirma.
Netto afirmou que tentou entrar em contato com a empresa por e-mail e pela fanpage no Facebook, mas não teve retorno. INFO tentou entrar em contato com a TelexFree, mas também não obteve resposta até o fechamento desta matéria.
Netto afirmou que tentou entrar em contato com a empresa por e-mail e pela fanpage no Facebook, mas não teve retorno. INFO tentou entrar em contato com a TelexFree, mas também não obteve resposta até o fechamento desta matéria.
Com Informações da INFO Abril Via O Paralelo
Nenhum comentário:
Postar um comentário