Dias após denunciar uma falha de segurança no sistema online da Unidas, empresa brasileira de locação de veículos, o TecMundo vem denunciar mais uma vulnerabilidade perigosa detectada em outro site brasileiro. Desta vez, quem parece não ter feito a lição de casa na disciplina de cibersegurança é a Livraria Cultura, famosa rede varejista que comercializa livros, CDs e artigos de entretenimento.
O site em questão utiliza um padrão sequencial para gerar os boletos utilizados por seus clientes, e, desta forma, é extremamente fácil obter acesso a praticamente qualquer boleto criado para compras efetuadas dentro da plataforma. A URL dos documentos é, por padrão, http://www.livrariacultura.com.br/services/boleto?order=XXXXXXXXX, onde “XXXXXXXXX” é o código de nove dígitos referente a cada compra realizada no ecommerce.
Alterando esses números de forma aleatória, você mais cedo ou mais tarde conseguirá abrir um boleto randômico gerado por algum cliente. Nesse papel, constam dados sigilosos como valor da transação, nome do sacado, endereço de cobrança e e até mesmo o seu CPF ou CNPJ. De posse de tais informações, qualquer hacker malicioso pode planejar um ataque de engenharia social e cometer fraudes bancárias.
Exemplo de boleto que conseguimos visualizar graças ao erro
Fomos confirmar
Quem nos avisou sobre tal vulnerabilidade foi o leitor Diego Sousa, que descobriu a falha após realizar uma compra na plataforma. Ao perceber que o endereço dos boletos era sempre o mesmo e bastaria trocar os códigos sequenciais para descobrir informações de outros clientes, Diego procurou alertar a equipe de TI responsável pela loja, mas a resposta não foi nada satisfatória:
Em menos de dez minutos, conseguimos obter acesso a sete boletos diferentes
Agradecemos o seu apontamento sobre a possibilidade de emissão de boletos não estar de acordo com o que você espera da Livraria Cultura. Já encaminhamos as suas sugestões para melhoria do procedimento, no entanto não temos previsão para implementação. Conte com o nosso empenho em manter a segurança do site.
O TecMundo “brincou” um pouco com tal bug e, em menos de dez minutos, conseguimos obter acesso a sete boletos diferentes criados para internautas de Mato Grosso do Sul, Brasília, São Paulo, Minas Gerais e Rio Grande do Sul. O valor das compras varia de R$ 39,90 a R$ 149,90. Basta ter um pouco de paciência para “minerar” tais dados, pois nem todo código sequencial refere-se a uma compra paga por boleto.
Entenda os perigos dessa falha
Como dissemos anteriormente, essa vulnerabilidade pode ser facilmente explorada por criminosos cibernéticos. Os boletos contêm não apenas o nome completo do cliente, mas também seu CPF e endereço completo. Combinando tais informações com um bom banco de dados, o meliante digital obtém o email da vítima e utiliza engenharia social para poder articular uma fraude bancária.
Imagine que você tenha acabado de adquirir um produto no valor de R$ 149 no site da Livraria Cultura, optando por pagar por boleto. O cracker visualiza o documento, edita a linha digitável e/ou o código de barras para que o valor seja depositado em sua própria conta, consulta um database para saber seu email e envia uma mensagem falsa em nome da loja com o boleto corrompido anexado, requisitando o pagamento.
O TecMundo entrou em contato com a assessoria de imprensa da Livraria Cultura, mas não obtivemos retorno até o momento. Caso a companhia nos envie seu posicionamento a respeito desse caso, esta matéria será prontamente atualizada.
Esta reportagem contou com a colaboração do jornalista Felipe Payão.
Fontes
Categorias