Mais um problema para o lado da TelexFree, ou seja, para seus
divulgadores se preocuparem: dados pessoais de muitos deles, como nome,
endereço completo e valor investido, podem estar disponíveis para
qualquer um na internet. E nem é preciso muito trabalho para
encontrá-los, já que estas informações podem estar sendo indexadas pelo
Google.
A descoberta foi feita por Manoel Netto, do Tecnocracia, enquanto pesquisava sobre as atividades da empresa no site de buscas.
Ele encontrou boletos que contêm dados de pessoas que se juntaram ao
esquema sem muito esforço. Isso porque os pagamentos para entrar no
TelexFree eram feitos por meio de um boleto gerado pelo site da empresa,
que criava uma versão online do documento. O problema é que Netto
constatou que os boletos são gerados em URLs sequenciais e, sendo assim,
não é difícil descobrir ou encontrar boletos desprotegidos e as
respectivas informações dos divulgadores.
Os boletos também podem ser editados por qualquer um. Quer dizer, não
têm absolutamente nenhuma proteção. A não ser que a digitação de um
captcha e vinculação da conta com o CPF signifiquem muita coisa (não
significam), já que, pouco antes de ter todas as atividades suspensas
pela justiça, a empresa colocou esses recursos para melhorar a
segurança.
Mas isso foi já no fim. Ou seja, dá para afirmar que, se você entrou
na TelexFree, seus dados pessoais podem estar nadando livremente pelo
Google.
O pior é que esta é uma falha bem simples de ser corrigida e que
poderia ter sido evitada desde o início se cuidados básicos tivessem
sido seguidos na implementação do sistema. Manoel Netto inclusive expõe
algumas maneiras no post, como a utilização de alguma função de hash no
PHP para a geração de boleto ou o uso do parâmetro no-index, que impede a
indexação de páginas em mecanismos de buscas.
Via: Tecnoblog
Nenhum comentário:
Postar um comentário