Depois de descobrir uma falha que expunha dados pessoais de usuários da TelexFree, Manoel Netto, do Tecnocracia, decidiu investigar a existência do problema em outras redes “marketing multinível”. E não é que ele descobriu que a rede BBOM tem uma vulnerabilidade parecida?

Tal como a TelexFree, a BBOM utiliza um sistema de geração de boletos bancários do Banco Brasil, só que com um pouco mais de segurança: o mecanismo não gera URLs sequenciais, tampouco deixa claro a identificação do gerador de boletos. Entretanto, não houve zelo no sentido de evitar que links de boletos contendo informações pessoais de adeptos da BBOM fossem parar no Google e, consequentemente, abrissem uma brecha para exploração de dados de outros filiados.

Manoel Netto descobriu que o indivíduo que fez o script gerou um hash MD5 a partir da sequência de identificação do boleto e usou esta informação no endereço do documento. Como conseguiu encontrar alguns boletos indexados no Google, Netto utilizou a identificação de um deles para saber qual era o boleto seguinte (normalmente, o ID é sequencial), gerou um MD5 a partir desta informação (o MD5 de um mesmo dado resulta sempre no mesmo hash) e colocou a sequência obtida na URL. Pronto, lá estava o boleto seguinte, com nome, endereço e valor pago pelo cidadão à BBOM.

Boleto BBOM (Fonte: Tecnocracia)

Assim como no caso da TelexFree, alguns cuidados básicos implementados desde o início poderiam evitar a exposição das informações dos usuários da BBOM. A sorte é que poucos boletos foram indexados pelo Google.

O azar é que alguém com conhecimentos razoáveis pode, a partir destes poucos boletos, gerar um script capaz de explorar a vulnerabilidade e obter dados particulares de várias outras pessoas. Agora resta esperar que ao menos a brecha seja corrigida em tempo hábil.

Entramos em contato com a empresa para saber a posição dela em relação à descoberta do Tecnocracia; assim  que tivermos resposta, damos o update.

Atualização em 02/08/2013, às 12h40: a Embrasystem (grupo que controla a BBOM) nos enviou o seguinte posicionamento por meio de sua assessoria de imprensa:

A Embrasystem, sendo uma empresa de tecnologia, mantém atualizados os seus sistemas para evitar eventuais falhas. As informações vazadas via internet foram detectadas por nossos programadores e resolvidas prontamente, em 31/07.

Leia | Por que autenticação em duas etapas por SMS é uma péssima ideia

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.