Mais um problema para o lado da TelexFree, ou seja, para seus divulgadores se preocuparem: dados pessoais de muitos deles, como nome, endereço completo e valor investido, podem estar disponíveis para qualquer um na internet. E nem é preciso muito trabalho para encontrá-los, já que estas informações podem estar sendo indexadas pelo Google.

A descoberta foi feita por Manoel Netto, do Tecnocracia, enquanto pesquisava sobre as atividades da empresa no site de buscas.

Ele encontrou boletos que contêm dados de pessoas que se juntaram ao esquema sem muito esforço. Isso porque os pagamentos para entrar no TelexFree eram feitos por meio de um boleto gerado pelo site da empresa, que criava uma versão online do documento. O problema é que Netto constatou que os boletos são gerados em URLs sequenciais e, sendo assim, não é difícil descobrir ou encontrar boletos desprotegidos e as respectivas informações dos divulgadores.

boleto-telexxfree

A URL de geração de boleto do Banco do Brasil é sequencial e facilmente descoberta com pesquisas no Google (eu não vou expor a URL aqui nesse texto, por respeito aos milhões de consumidores que estão com seus dados desprotegidos). Que dados são expostos?

  • Nome do consumidor
  • Endereço (na maior parte das vezes completo)
  • CEP, Cidade e Estado
  • Valor pago (pode-se concluir qual pacote adquirido)

Os boletos também podem ser editados por qualquer um. Quer dizer, não têm absolutamente nenhuma proteção. A não ser que a digitação de um captcha e vinculação da conta com o CPF signifiquem muita coisa (não significam), já que, pouco antes de ter todas as atividades suspensas pela justiça, a empresa colocou esses recursos para melhorar a segurança.

Mas isso foi já no fim. Ou seja, dá para afirmar que, se você entrou na TelexFree, seus dados pessoais podem estar nadando livremente pelo Google.

O pior é que esta é uma falha bem simples de ser corrigida e que poderia ter sido evitada desde o início se cuidados básicos tivessem sido seguidos na implementação do sistema. Manoel Netto inclusive expõe algumas maneiras no post, como a utilização de alguma função de hash no PHP para a geração de boleto ou o uso do parâmetro no-index, que impede a indexação de páginas em mecanismos de buscas.

 

Como a falha pode ser explorada?

Se algum desocupado mal intencionado quiser, pode criar um script para capturar os dados dos consumidores, incluindo o valor pago, para uso próprio. O layout respondido é o mesmo, não há limite de conexões e a geração de boletos é sequencial, ou seja, mais fácil que isso só “hello world”.

Como a falha poderia ter sido evitada?

O ID de geração de boleto poderia ser um hash ou acompanhado de um hash one-way. O PHP (usado para gerar os boletos) possui diversas funções online para geração de hashes, uma forma simples de segurar uma página com dados públicos porém sensíveis.

Outra proteção que poderia ter sido feita no servidor é evitar o acesso direto ao gerador de boletos. Caso esse documento não precisasse ter link enviado por e-mail, por exemplo, a geração poderia ser feita dentro da área autenticada ou, mesmo fora, permitir apenas acessos vindos do próprio site.

Além disso, e ainda muito mais básico, é o parâmetro no-index utilizado nas páginas dessa natureza. Gente, por favor, se você tem uma página com dados sensíveis e que precisam ser acessados sem uma sessão de autenticação antes, POR FAVOR, remova a indexação dessa página. Não é nada legal descobrir que seu nome aparece nos sites de busca numa página que exibe um boleto de serviços, com todos os dados da empresa que você está comprando, e incluindo os seus dados pessoais.

PS: Nem todo robô respeita o no-index, então, sempre use um hash para proteger esses dados.

Fonte: tecnoblog via tecnocracia

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Verifique também

Novo iPhone pode ser lançado dia 13 de outubro, sugerem fontes.

A Apple pode estar próxima de lançar o novo iPhone 12 no dia 13 de outubro. A informação é…