A menos que você seja dono de uma empresa, é pouco provável que já tenha ouvido falar sobre a Bematech. A empresa existe desde 1987 e é líder no mercado de soluções para automação comercial, provendo equipamentos e softwares de gestão. Contudo, mesmo com tantos anos de experiência, a marca parece ter deixado escapar uma falha de segurança em seus sistemas online.
A partir de uma denúncia enviada por um leitor, o TecMundo investigou e constatou que, ao acessar uma determinada URL dentro do site http://www.bematechmais.com.br/, é possível conferir toda a lista de empresas parceiras e revendedores que a companhia possui. Cada parceiro possui um próprio ID sequencial que, ao ser inserido no endereço em questão, abre uma página própria na qual é possível cadastrar colaboradores.
Exemplo de página de cadastro de uma empresa parceira
Uma vez que tal página esteja sendo exibida, o internauta pode ainda verificar seu código fonte, onde encontrará maiores detalhes sobre a empresa em questão, incluindo endereço da sede, CPNJ e emails. Essas informações aparecem programadas com o atributo “hidden” (ou seja, ocultas na página), mas, na verdade, é bastante fácil visualizá-las.
Código fonte revela informações sobre a revenda parceira
Acessando a planilha de faturamento e outros dados
O grande problema é que, uma vez que você consiga acessar a página de qualquer uma dessas empresas e revendas parceiras da Bematech, é possível também se cadastrar (com dados falsos) e obter acesso ao painel de controle do programa Bematech Mais, que oferece uma série de vantagens para os clientes adeptos. O TecMundo constatou que é extremamente simples “fingir” ser dono de determinada empresa e entrar nessa plataforma restrita.
Conseguimos "fingir" que éramos uma empresa e entrar no programa Bematech Mais, acessando dados privados
Uma vez lá dentro, pudemos conferir ainda mais dados sigilosos sobre uma companhia aleatória, incluindo seu faturamento trimestral e gráficos que mostram a quantidade de produtos comercializados como revendedor. Também dá para acessar uma lista de fornecedores homologados de brindes e até mesmo realizar pedidos de materiais gráficos promocionais, mandando a conta direto para o setor de cobrança da empresa em questão.
)
)
)
)
O TecMundo entrou em contato com a assessoria de imprensa da TOTVS, responsável pelo Bematech Mais, e a marca emitiu o seguinte comunicado oficial:
A TOTVS informa que identificou a falha em questão e está trabalhando para corrigi-la. Como forma de reforçar nosso compromisso com a confidencialidade dos dados do programa de canais, retiramos do ar a funcionalidade afetada. Paralelamente, já foi iniciado uma revisão de todo o portal Bematech Mais.
A página em questão já foi, de fato, retirada do ar.
Categorias
![Imagem de: Home office: 70 vagas para trabalho remoto internacional [04/11]](https://tm.ibxk.com.br/2024/11/04/04083909949001.jpg?ims=288x165)
