Falha grave da Surf Telecom permite acessar dados de outros clientes

Aplicativos da Mega+ e de outras MVNOs permitiam acessar informações de clientes com linhas de celular da Surf Telecom sem código de confirmação

Lucas Braga
• Atualizado há 2 anos e 11 meses
App da MVNO permitia acesso indevido a outras linhas
App da MVNO permitia acesso indevido a outras linhas (Imagem: Lucas Braga/Tecnoblog)

Uma falha grave de segurança atingiu aplicativos de empresas vinculadas à Surf Telecom. Usuários do app da Mega+ – operadora virtual que assumiu os clientes da antiga Intercel, do Banco Inter – conseguiam acessar dados das linhas de celular de terceiros, desde que colocassem o número de celular de outro cliente e informassem qualquer código numérico na confirmação por SMS.

A falha foi divulgada pelo Minha Operadora, que recebeu um vídeo de um usuário acessando a própria conta e confirmou um código de acesso diferente do que o enviado via SMS. O acesso indevido permite que terceiros visualizem informações privadas como o consumo de dados, ligações e SMS, bem como o histórico de recarga e dados de pagamentos, como cartão de crédito.

Após a falha, o aplicativo da Mega+ foi retirado da Play Store, enquanto a versão para iOS foi atualizada e não faz o login indevido. No entanto, a brecha de segurança também atinge aplicativos de outras MVNOs da Surf Telecom que continuam sendo distribuídos nas lojas.

Eu baixei o aplicativo da Alô Todos para Android e iOS e consegui fazer login na linha do Everton Favretto, assistente de conteúdo do Tecnoblog. Ele possui um chip da antiga Intercel, e foi possível entrar no aplicativo com seu número sem informar o código de segurança enviado por SMS.

Apesar do login concluído, não é mais possível verificar informações pessoais: o consumo de dados deixou de ser carregado, e o histórico de pagamentos e recargas fica em branco.

Na quinta-feira (1º), a Surf enviou o seguinte comunicado ao Tecnoblog:

A Surf Telecom informa que após análises técnicas e uma rígida revisão em seu sistema, todas as falhas relacionadas à autenticação já foram resolvidas e os aplicativos de seus clientes operam sem anormalidades. O problema técnico aconteceu em razão da versão disponibilizada ser a Beta, de testes, ainda não definitiva. A empresa reforça que realiza atualizações constantes e em nenhum momento informações pessoais de seus usuários estiveram expostas.

Vale notar que, neste vídeo do Minha Operadora, claramente é possível verificar informações da linha:

Banco Inter deixa Surf Telecom pela Vivo

É possível descrever que a Surf Telecom como uma facilitadora para que empresas de outros setores se tornem uma operadora de celular. A tele, que utiliza cobertura da TIM, abriga dezenas de MVNOs incluindo a Uber Chiptimes de futebol, varejistas e celebridades como KLB e Larissa Manoela.

No entanto, algumas empresas romperam com a Surf Telecom nos últimos anos: o Banco Inter fechou um novo acordo com a Vivo e os clientes da antiga Intercel foram transferidos para uma nova MVNO, a Mega+.

A Magazine Luiza também é (era?) parceira da Surf Telecom com a operadora Maga+ (não confundir com Mega+), mas a varejista prepara uma nova MVNO em parceria com a Claro.

Atualizado em 01/07

Leia | Celular roubado? Saiba como recuperar conta do Telegram

Relacionados

Escrito por

Lucas Braga

Lucas Braga

Repórter especializado em telecom

Lucas Braga é analista de sistemas que flerta seriamente com o jornalismo de tecnologia. Com mais de 10 anos de experiência na cobertura de telecomunicações, lida com assuntos que envolvem as principais operadoras do Brasil e entidades regulatórias. Seu gosto por viagens o tornou especialista em acumular milhas aéreas.