Falha grave da Surf Telecom permite acessar dados de outros clientes
Aplicativos da Mega+ e de outras MVNOs permitiam acessar informações de clientes com linhas de celular da Surf Telecom sem código de confirmação
Aplicativos da Mega+ e de outras MVNOs permitiam acessar informações de clientes com linhas de celular da Surf Telecom sem código de confirmação
Uma falha grave de segurança atingiu aplicativos de empresas vinculadas à Surf Telecom. Usuários do app da Mega+ – operadora virtual que assumiu os clientes da antiga Intercel, do Banco Inter – conseguiam acessar dados das linhas de celular de terceiros, desde que colocassem o número de celular de outro cliente e informassem qualquer código numérico na confirmação por SMS.
A falha foi divulgada pelo Minha Operadora, que recebeu um vídeo de um usuário acessando a própria conta e confirmou um código de acesso diferente do que o enviado via SMS. O acesso indevido permite que terceiros visualizem informações privadas como o consumo de dados, ligações e SMS, bem como o histórico de recarga e dados de pagamentos, como cartão de crédito.
Após a falha, o aplicativo da Mega+ foi retirado da Play Store, enquanto a versão para iOS foi atualizada e não faz o login indevido. No entanto, a brecha de segurança também atinge aplicativos de outras MVNOs da Surf Telecom que continuam sendo distribuídos nas lojas.
Eu baixei o aplicativo da Alô Todos para Android e iOS e consegui fazer login na linha do Everton Favretto, assistente de conteúdo do Tecnoblog. Ele possui um chip da antiga Intercel, e foi possível entrar no aplicativo com seu número sem informar o código de segurança enviado por SMS.
Apesar do login concluído, não é mais possível verificar informações pessoais: o consumo de dados deixou de ser carregado, e o histórico de pagamentos e recargas fica em branco.
Na quinta-feira (1º), a Surf enviou o seguinte comunicado ao Tecnoblog:
A Surf Telecom informa que após análises técnicas e uma rígida revisão em seu sistema, todas as falhas relacionadas à autenticação já foram resolvidas e os aplicativos de seus clientes operam sem anormalidades. O problema técnico aconteceu em razão da versão disponibilizada ser a Beta, de testes, ainda não definitiva. A empresa reforça que realiza atualizações constantes e em nenhum momento informações pessoais de seus usuários estiveram expostas.
Vale notar que, neste vídeo do Minha Operadora, claramente é possível verificar informações da linha:
É possível descrever que a Surf Telecom como uma facilitadora para que empresas de outros setores se tornem uma operadora de celular. A tele, que utiliza cobertura da TIM, abriga dezenas de MVNOs incluindo a Uber Chip, times de futebol, varejistas e celebridades como KLB e Larissa Manoela.
No entanto, algumas empresas romperam com a Surf Telecom nos últimos anos: o Banco Inter fechou um novo acordo com a Vivo e os clientes da antiga Intercel foram transferidos para uma nova MVNO, a Mega+.
A Magazine Luiza também é (era?) parceira da Surf Telecom com a operadora Maga+ (não confundir com Mega+), mas a varejista prepara uma nova MVNO em parceria com a Claro.
Atualizado em 01/07
Leia | Celular roubado? Saiba como recuperar conta do Telegram