Uma brecha de segurança no site da agência de cobranças LocalCred expôs mais de 360 mil boletos do Itaú, HSBC, Cred-System, Banco Pan e LuizaCred. Esses boletos continham CPFs, nomes completos e até endereços de clientes. A falha foi percebida por um cliente do Itaú, Hélio Pimentel, que estava sendo cobrado pela agência.
Ele notou que, para conseguir o seu boleto, precisou apenas clicar em uma URL comum recebida por email. Como havia uma sequência lógica, ele só precisou mudar alguns números aleatoriamente para acessar boletos de outros clientes. Pimentel é analista de sistemas e construiu uma ferramenta que foi capaz de baixar todos os mais de 360 mil boletos que o banco de dados da LocalCred tinha.
A empresa foi avisada da falha pelo cliente, mas não há informações concretas sobre a possibilidade de o erro já ter sido corrigido. Depois desse aviso, o cliente entrou em contato com o site G1 e comunicou o problema.
O sistema de geração de boletos, entretanto, não é de propriedade da LocalCred. Uma empresa chamada MCM Solutions é a responsável por ele. Apesar de as empresas não admitirem que a falha é grave, expondo dados de clientes desnecessariamente, há o risco de qualquer pessoa conseguir esses boletos, se passar pelas agências de cobrança, ligar para os clientes tentando fazer um bom negócio e desviar o pagamento.
Fontes
Categorias