Meio Bit » Arquivo » Internet » Falha de segurança expõe dados de usuários da TelexFree na busca do Google, entre outros [UPDATE: BBOM também]

Falha de segurança expõe dados de usuários da TelexFree na busca do Google, entre outros [UPDATE: BBOM também]

E a vida dos patos divulgadores da TelexFree só melhora. Depois de caírem no velho golpe da pirâmide financeira maquiada de marketing multinível que até as pedras da rua sabiam ser uma furada, ver seu dinheiro bloqueado e a esperança de recuperar o prejuízo cada vez mais distante, agora seus dados estão expostos para quem quiser ver, à distância de uma busca no Google.

10 anos atrás

Telexfree

E a vida dos patos divulgadores da TelexFree só melhora. Depois de caírem no velho golpe da pirâmide financeira maquiada de marketing multinível que até as pedras da rua sabiam ser uma furada, ver seu dinheiro bloqueado e a esperança de recuperar o prejuízo cada vez mais distante, agora seus dados estão expostos para quem quiser ver, à distância de uma busca no Google.

O garboso site da empresa gera um boleto para pagar pelos "produtos". Esse boleto com os dados do sujeito fica em uma url pública e indexável pelo Google.

Eu não precisei mais do que 1 minuto para encontrar um boleto indexado, e para melhorar tudo, o código do final da url é sequencial, é só ir aumentando ou diminuindo o número que aparece um boleto diferente atrás do outro.

Boleto TelexFree

Ali ficam expostos o nome e o endereço completos, além do valor pago, do que dá para deduzir até o que foi adquirido.

Segurança, por sinal, parece ser o forte por lá, já que só depois de um ano de operações começaram a solicitar um CPF dos usuários, o que explica o desaparecimento de valores relatados por muitos. Para por uma cereja no bolo, um captcha garantia a blindagem de tudo. Um captcha.

O Manoel Netto, que descobriu a falha, aponta os simples procedimentos que poderiam ter sido adotados para evitar isso, desde impedir que a url seja acessada sem login ou apenas do próprio site, até bloquear a indexação por mecanismos de pesquisa. Você pode ver tudo in loco no Tecnocracia.

Além da vergonha alheia de ser ludibriado em um esquema desses, agora mais essa. Se bem que, pelo andar da carruagem, esses são os menores problemas dos felizes divulgadores da TelexFree.

Update - BBOM apresenta falha de segurança semelhante

A BBOM, outro baluarte do esquema de figuras geométricas piramidais, também expõe os dados de seus usuários. O problema é menos grave, mas não deixa de ser sério para quem lida com milhares de usuários:

Ao contrário do que ocorre na TelexFree, apenas alguns poucos boletos da BBOM estão indexados no Google (eu vi 7 no total). Eles também não utilizam um número sequencial para gerar o boleto, nem expõe o nome do arquivo gerador (o que pode facilitar a identificação de falhas). Eles usam.. tandaaammmm UM HASH! E só. - Manoel Netto

Os agradecimentos vão para o Manoel Netto, que me enviou a dica.

Leia mais sobre: , , .

relacionados

Apple e a "guerra silenciosa" contra o Google

Google processado nos EUA por monopólio de anúncios

Google para Apple: "pare de nos bater com o iMessage!"

Comentários

Destaques

O fabuloso mundo de Tchia
Quem quer, faz (você não, Brasil): satélite movido a pilha
Microsoft 365 Copilot – Eles vão dominar o mundo – de novo
Acredite se quiser: o clássico Terminal Velocity está de volta!
NASA quer rebocador de US$ 1 bi para descomissionar a ISS
Meio Bit © 2023 – Todos os direitos reservados.
Design e código