Programador expõe falha da Telefônica que revela dados de clientes Speedy

Auditor independente afirma ter descoberto falha que permite que dados de usuários Speedy sejam acessados por usuários mal-intencionados
sexta-feira, 10 de julho de 2009 20:07
por
Ana Freitas

O programador e auditor independente que se identifica na rede como Vinicius K-Max afirma ter encontrado há cerca de um mês uma falha de segurança grave no site da Telefonica, que permite que qualquer usuário mal-intencionado tenha acesso a dados pessoais dos usuários do serviço de banda larga Speedy. K-Max desenvolveu um sistema de busca para provar que é possível encontrar os usuários do serviço e explorar a falha no site da Telefonica.







O Link entrou em contato com a Telefonica no fim da tarde desta sexta, 10. De acordo com a assessoria da empresa, o domínio divulgado por K-Max "não é um endereço oficial da Telefonica". À noite, por e-mail e em conversa telefônica com redação do estadao.com.br, a assessoria de imprensa da empresa informou que a "Telefônica está apurando o assunto para tomar as eventuais providências que forem necessárias."



No site desenvolvido pelo hacker, é possível procurar por qualquer usuário Speedy via CPF ou CNPJ, nome, telefone ou e-mail.



O sistema de K-Max exibe apenas um resultado por busca e os resultados exibidos suprimem os últimos dois dígitos de qualquer telefone e CPF encontrados.



Ele afirma que a falha permite acesso aos dados completos dos clientes, mas que preservou os dados suprimidos propositalmente. "[O site] serve apenas para provar que a falha existe. Além disso, evita que alguém use o sistema para ter acesso aos dados dos usuários".



A reportagem do Link buscou pelos dados de oito clientes usando critérios variados. Três deles foram encontrados e confirmaram os dados exibidos. Outros três confirmaram apenas o nome e o e-mail mostrados nos resultados. Apenas dois dos oito clientes buscados não foram encontrados pela busca, mesmo executando-a por critérios variados.



De acordo com K-Max, a falha em questão é uma das mais comuns, chamada SQL injection, em que o invasor consegue passar comandos diretamente ao banco de dados e obter de volta os dados restritos.



Ainda segundo ele, seria fácil encontrar esse tipo de falha no sistema. "Basta fazer auditoria no código, ter alguém lá que se interesse por falhas de segurança." Ele diz que encontrou a brecha de segurança porque "gosta". "Tenho esse instinto de buscar falhas de segurança em aplicações web, porque além de um passatempo eu também trabalho com isso", disse. "Uma vez dentro de um site, eu começo a testar algumas coisas, como mudar parâmetros na URL, tentando fazer com o que o site receba comandos que não foram feitos pro internauta enviar".



K-Max disse ter pensado em falar com a Telefonica "pra informar sobre a falha, pra proteger rapidamente seus clientes", mas ter desistido em seguida. Ele acredita que expor a vulnerabilidade pode forçar a empresa a corrigir a falha e ainda servir de 'case' de estudo para programadores e auditores iniciantes.



Matéria atualizada às 22h50.

Sphere: Related Content