Falha de segurança da Electrolux expõem dados de 1.600.000 clientes

Falha de segurança da Electrolux expõem dados de 1.600.000 clientes, fique atento e saiba se você é um dos afetados pelo problema.

Compras online são uma verdadeira dor de cabeça para muitos usuários. Confirmar nossas informações pessoais em sites que não conhecemos, é sempre um motivo de desconfiança. Porém oferecer esses mesmos dados para uma empresa idônea como é a Electrolux, é teoricamente, totalmente seguro. Usuários leigos se enganam com esse tipo de pensamento, empresas “idôneas” e 100% seguras não existem. Sempre vai existir um processo interno da empresa que, por descuido ou falta de comprometimento da mesma, acaba gerando uma verdadeira “cagada”, e muita dor de cabeça para o pessoal da TI. Foi o que encontrei recentemente no site da Electrolux.

Assim como a TelexFree e BBOM, a Eletrolux utiliza um sistema de geração de boletos em sequência numérica. Coisa que é inadmissível, caso o sistema seja web e aberto a todos os usuários que visitarem a URL em questão. Diferente da TelexFree e da BBOM, o problema da Eletrolux e GIGANTESCO, pois de acordo com meus cálculos, pode expor dados de até um milhão e seiscentos mil usuários.

falha de segurança electrolux

Quando me depararei com a vulnerabilidade, fiz o que qualquer usuário sensato faria, mandei diversos e-mails para a empresa alertando do problema, porém NENHUM DELES FOI RESPONDIDO. Cheguei ao limite do desespero e resolvi fazer uma ligação direta ao suporte da Electrolux, a ligação foi feita às 19h43min do dia 31/08/2013, após ter enviado dezenas de e-mails alertando sobre o problema. A atendente de nome Sueli, não sabia o que fazer com a minha informação. A melhor resposta que ela pode me oferecer, foi à garantia que iria encaminha a minha solicitação ao seu superior, e ele, posteriormente encaminharia essa solicitação ao superior dele. Assim a reclamação seguiria a cadeia burocrática até encontrar alguém apto a resolver o problema.

Porém a única resposta que obtive foi o e-mail  abaixo:

Electrolux

Não quero avaliar atendimento! Quero soluções…

Notando o descaso com os dados dos clientes, resolvi fazer um pequeno teste e criei um script que automaticamente baixava os dados disponíveis no site. Somente para teste (quero deixar isso claro), pois queria saber quanto tempo levaria para realizar o download de todos os registros. Criei um programa para realizar o download em paralelo de todos os registros disponíveis. E para minha surpresa, em menos de uma hora e meia possuía cerca de um milhão e meio de boletos em minha máquina. São cerca de 30Gb, compactados são cerca de 2Gb de informações CONFIDENCIAIS que a Electrolux deveria manter em total sigilo, pois nesses arquivos é possível encontrar:

  • Nome completo do cliente;
  • CPF do cliente;
  • Endereço COMPLETO do cliente;
  • E dados referentes ao pagamento à empresa.

Um estelionatário poderia utilizar esses dados para fingir ser qualquer um dos clientes da empresa, e assim causar MUITA dor de cabeça aos usuários da Electrolux.

Logo após o download, e o teste para comprovar a vulnerabilidade, que pode ser encontrada nessa URL (http://vendafuncionarios.electrolux.com.br/geraboleto.asp?ID=749175), apaguei todos os registros de minha máquina, pois o objetivo aqui é informar aos clientes da empresa o perigo que estão correndo.

Empresas como a TelexFree e BBOM, de certa forma, não me preocupam tanto ao permitir que esse tipo de falha aconteça, já que seus serviços são recentes e a explosão de vendas que elas tiveram justificam, de certa forma, uma infraestrutura fraca. Porém uma empresa como a Electrolux que vale cerca de 7 bilhões de dólares, não pode se permitir esse tipo de erro grotesco.

Isso além de manchar a imagem da empresa pode causar dores de cabeça aos seus usuários, vale lembrar que essa URL está disponível no Google e indexada para busca. Qualquer ao realizar uma pesquisa pode se deparar com essa vulnerabilidade. Infelizmente como a empresa não entrou em contato comigo, não posso postar aqui a resposta da mesma, porém o canal fica aberto, se alguém da Electrolux quiser enviar uma nota ou complementar algo dito nesse texto, estamos à disposição.

Possíveis soluções do problema

Existem diversas formas de dificultar e ou solucionar o problema de uma vez por todas, a primeira e mais obvia é impedir que os mecanismos de busca indexassem esse tipo de informação. A segunda e utilizar um hash para gerar os boletos, assim eles deixariam de ser sequenciais e impediriam que um estelionatário baixasse todos esses dados. Porém toda solução depende do sistema já implantado pela empresa.

Infelizmente o estrago já está feito, essas dados estão desde 2002 disponíveis na internet, possivelmente muitos já realizaram um backup desses dados, e por isso única solução da Electrolux é emitir uma nota de esclarecimento e tentar amenizar a dor de cabeça que ela achou.

Atualizado em: 10/09/2013
  • Esta dica foi útil para você?
  • Recomendar
  • Não recomendar

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *