Falha grave da Surf Telecom permite acessar dados de outros clientes

Aplicativos da Mega+ e de outras MVNOs permitiam acessar informações de clientes com linhas de celular da Surf Telecom sem código de confirmação

Lucas Braga
Por

Uma falha grave de segurança atingiu aplicativos de empresas vinculadas à Surf Telecom. Usuários do app da Mega+ – operadora virtual que assumiu os clientes da antiga Intercel, do Banco Inter – conseguiam acessar dados das linhas de celular de terceiros, desde que colocassem o número de celular de outro cliente e informassem qualquer código numérico na confirmação por SMS.

App da MVNO permitia acesso indevido a outras linhas

App da MVNO permitia acesso indevido a outras linhas (Imagem: Lucas Braga/Tecnoblog)

A falha foi divulgada pelo Minha Operadora, que recebeu um vídeo de um usuário acessando a própria conta e confirmou um código de acesso diferente do que o enviado via SMS. O acesso indevido permite que terceiros visualizem informações privadas como o consumo de dados, ligações e SMS, bem como o histórico de recarga e dados de pagamentos, como cartão de crédito.

Após a falha, o aplicativo da Mega+ foi retirado da Play Store, enquanto a versão para iOS foi atualizada e não faz o login indevido. No entanto, a brecha de segurança também atinge aplicativos de outras MVNOs da Surf Telecom que continuam sendo distribuídos nas lojas.

Eu baixei o aplicativo da Alô Todos para Android e iOS e consegui fazer login na linha do Everton Favretto, assistente de conteúdo do Tecnoblog. Ele possui um chip da antiga Intercel, e foi possível entrar no aplicativo com seu número sem informar o código de segurança enviado por SMS.

Apesar do login concluído, não é mais possível verificar informações pessoais: o consumo de dados deixou de ser carregado, e o histórico de pagamentos e recargas fica em branco.

Na quinta-feira (1º), a Surf enviou o seguinte comunicado ao Tecnoblog:

A Surf Telecom informa que após análises técnicas e uma rígida revisão em seu sistema, todas as falhas relacionadas à autenticação já foram resolvidas e os aplicativos de seus clientes operam sem anormalidades. O problema técnico aconteceu em razão da versão disponibilizada ser a Beta, de testes, ainda não definitiva. A empresa reforça que realiza atualizações constantes e em nenhum momento informações pessoais de seus usuários estiveram expostas.

Vale notar que, neste vídeo do Minha Operadora, claramente é possível verificar informações da linha:

YouTube video

Banco Inter deixa Surf Telecom pela Vivo

É possível descrever que a Surf Telecom como uma facilitadora para que empresas de outros setores se tornem uma operadora de celular. A tele, que utiliza cobertura da TIM, abriga dezenas de MVNOs incluindo a Uber Chiptimes de futebol, varejistas e celebridades como KLB e Larissa Manoela.

No entanto, algumas empresas romperam com a Surf Telecom nos últimos anos: o Banco Inter fechou um novo acordo com a Vivo e os clientes da antiga Intercel foram transferidos para uma nova MVNO, a Mega+.

A Magazine Luiza também é (era?) parceira da Surf Telecom com a operadora Maga+ (não confundir com Mega+), mas a varejista prepara uma nova MVNO em parceria com a Claro.

Atualizado em 01/07