Site da TelexFree tem falha básica que expõe dados pessoais dos divulgadores

Mais um problema para o lado da TelexFree, ou seja, para seus divulgadores se preocuparem: dados pessoais de muitos deles, como nome, endereço completo e valor investido, podem estar disponíveis para qualquer um na internet. E nem é preciso muito trabalho para encontrá-los, já que estas informações podem estar sendo indexadas pelo Google.
A descoberta foi feita por Manoel Netto, do Tecnocracia, enquanto pesquisava sobre as atividades da empresa no site de buscas.
Ele encontrou boletos que contêm dados de pessoas que se juntaram ao esquema sem muito esforço. Isso porque os pagamentos para entrar no TelexFree eram feitos por meio de um boleto gerado pelo site da empresa, que criava uma versão online do documento. O problema é que Netto constatou que os boletos são gerados em URLs sequenciais e, sendo assim, não é difícil descobrir ou encontrar boletos desprotegidos e as respectivas informações dos divulgadores.
boleto telexxfree
Os boletos também podem ser editados por qualquer um. Quer dizer, não têm absolutamente nenhuma proteção. A não ser que a digitação de um captcha e vinculação da conta com o CPF signifiquem muita coisa (não significam), já que, pouco antes de ter todas as atividades suspensas pela justiça, a empresa colocou esses recursos para melhorar a segurança.
Mas isso foi já no fim. Ou seja, dá para afirmar que, se você entrou na TelexFree, seus dados pessoais podem estar nadando livremente pelo Google.
O pior é que esta é uma falha bem simples de ser corrigida e que poderia ter sido evitada desde o início se cuidados básicos tivessem sido seguidos na implementação do sistema. Manoel Netto inclusive expõe algumas maneiras no post, como a utilização de alguma função de hash no PHP para a geração de boleto ou o uso do parâmetro no-index, que impede a indexação de páginas em mecanismos de buscas.
Via: Tecnoblog

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s