Netto encontrou a falha no site sem querer ao buscar no Google informações do CNPJ da Telexfree assim que soube da mudança da companhia para S/A. "Digitei no Google 'telexfree impactos cnpj' e para minha surpresa apareceu um boleto entre os resultados. Quando cliquei, vi que era de um cliente e só precisei modificar o número de ID da URL para checar os dados de todos os outros usuários", afirmou o especialista à Info, revelando também que cerca de 9 milhões de IDs estariam disponíveis na internet sem proteção alguma.
O bug está relacionado ao fato de que o endereço de URL que é responsável pela geração de boletos bancários do Banco do Brasil no site é sequencial e pode ser encontrado facilmente em pesquisas na internet. Os dados dos usuários que podem ser visualizados com facilidade são nome completo, endereço e o valor pago pelo produto adquirido da Telexfree.
Reprodução: Manoel Netto/Tecnocracia |
No site Tecnocracia, onde o especialista publicou a sua descoberta pela primeira vez, Netto acrescentou uma atualização em seu post na manhã desta quarta-feira (31) afirmando que depois que o caso foi repercutindo por alguns sites de tecnologia, a Telexfree tomou providências e, agora, não é mais possível a visualização dos boletos, mas eles ainda continuam disponíveis no cache do Google e a biblioteca usada também permanece ativa.
Nenhum comentário:
Postar um comentário