Vulnerabilidade estava no endereço de ativação de cadastro enviado em um link por e-mail - See more at: http://noticias.reclameaqui.com.br/noticias/promocao-da-samsung-pode-ter-exposto-dados-de-900-mil-client_2579/#sthash.72UlHzx7.dpuf



Uma falha no site "Samsung Para Você", em que a sul-coreana oferece descontos, expôs as informações dos quase um milhão de consumidores cadastrados na página, como CPF, endereço e telefone. A Samsung informa apenas apurar a situação.

A vulnerabilidade estava no endereço de ativação de cadastro enviado em um link por e-mail: o endereço era previsível e autentica o usuário sem exigir a senha de acesso, dando acesso ao perfil e aos dados de cada usuário. As informações são do portal G1.

Um consumidor de São Paulo, que comprou um smartphone Galaxy S7 Edge em um shopping da zona sul da capital, fez uma reclamação no Reclame AQUI após ser cadastrado na promoção. Depois da compra, a vendedora da loja ofereceu que o cliente concorresse a um óculos e, para isso, o cadastrou na mesma hora na promoção "Samsung Para Você". "A própria vendedora fez o cadastro e me disse que teria que esperar 7 dias úteis para que me dessem retorno. Depois de 12 dias úteis recebi retorno que não reconheciam a foto do cupom fiscal. Registrei mais uma vez no dia 17/11 e no dia 18/11 recebi o retorno de que tinha sido aprovado para liberação do brinde. Abri vários chamados no site da Samsung e nenhum foi respondido", relatou ele numa queixa feita no Reclame AQUI!



Procurada pela coluna Segurança Digital, a Samsung disse que está "apurando a situação relatada e segue monitorando o site para agir prontamente caso surja alguma anormalidade". A empresa colocou à disposição o serviço de atendimento ao consumidor nos telefones 4004-0000 (capitais) e 0800-124421 (demais cidades).

O problema foi descoberto pelo analista de sistemas Rafael Braga Gianesini quando ele teve que usar o site para receber um fone de ouvido. Ele então tentou contato com a Samsung para que a empresa solucionasse o problema, mas encontrou dificuldades. Não há indícios de que os dados tenham vazado na web. Perguntada, a Samsung não respondeu se registrou ou não acesso indevido às informações.

Vulnerabilidade em um clique

Gianesini percebeu que o endereço web enviado por e-mail para confirmar o cadastro ou mudar a senha da conta também automaticamente faz o "log-in" do usuário, criando um risco para acessos indevidos: tendo o link, não é preciso da senha.

Mesmo tendo tanto "poder", esse endereço era previsível e sequencial: se um usuário cadastrado terminava em "1", o seguinte era "2" e assim por diante. Com isso, era possível acessar o perfil de qualquer cliente cadastrado. Realizado o acesso, o site permite visualizar todas as informações cadastrais: nome completo, telefone, CPF, endereço de e-mail, endereço físico e telefones fixo e celular.

A coluna Segurança Digital conseguiu confirmar os fatos revelados pelo analista.

Entenda o ataque

O ataque não necessitava de nenhuma ferramenta especial, apenas do navegador de internet. O invasor teria que se cadastrar no site, copiar o link recebido no e-mail de confirmação e alterar o número ao final do endereço (de "350" para "351" ou "349", por exemplo) e acessá-lo com o navegador de internet. Com isso, ele já estaria logado no site como outra pessoa e poderia acessar a página de cadastro para ver os dados. O procedimento poderia ser repetido ou mesmo automatizado por um programa para extrair todas as informações do site.

Como "Samsung Para Você" é uma página promocional que fornece brindes e promoções para clientes que realizam o cadastro, Gianesini também conheceu o site depois de adquirir um produto da Samsung.

"Comprei um celular e tive que cadastrar no site para receber um fone de ouvido. Só que tive problemas no cadastro e tive que acessar várias vezes o site para abertura e acompanhamento dos chamados. O problema é que você não consegue alterar a senha. Nisso, tive que solicitar um 'esqueci minha senha' e percebi que a URL do botão 'ir para o site' já me autenticava", conta o especialista.

Gianesini considerou a falha "amadora". "Qualquer usuário leigo poderia ter acesso aos dados de mais de 900 mil clientes. Não exigia nenhum conhecimento avançado de TI [tecnologia da informação]", afirma. Se a falha caísse nas mãos de bandidos, ele avalia que os dados poderiam ser usados em fraudes com engenharia social (golpistas se passando pela Samsung, por exemplo) e também atacando diretamente os clientes no site, com alteração de endereço para que os produtos promocionais fossem enviados a um endereço diferente.

Dificuldade de contato

A Samsung não informou se existe um contato para assuntos de segurança como este. Várias empresas - inclusive Apple, Microsoft, Google e Facebook - possuem canais específicos para relatar problemas de segurança e até remuneram colaboradores que seguirem regras e atenderem a certas condições.

Gianesini conta que, por não encontrar esse canal, teve dificuldade para falar com a Samsung. Ele tentou contato no dia 4 de novembro pelo canal "Envie um e-mail para a Samsung", mas o sistema apresentou problemas técnicos e ele não conseguiu dar seguimento ao contato após a resposta da Samsung no dia 7.

No dia seguinte, 8 de novembro, o analista de sistemas tentou contato no chat. Esse contato foi retornado via e-mail no dia 21 de novembro por um funcionário do varejista Magazine Luiza, que é parceiro da loja on-line da Samsung. Foi só então que o problema foi finalmente relatado. O funcionário do Magazine Luiza informou que se tratava de um problema no próprio site da Samsung e que encaminharia a informação. A falha foi então corrigida no dia seguinte (22/11).

A reportagem da coluna procurou o Magazine Luiza, que reafirmou não ser a responsável pelo site "Samsung para Você". "A parceria [com a Samsung] se limita à operação de compra e venda do e-commerce da parceira. A demanda em questão foi repassada à Samsung", afirmou a empresa.

Risco permanece após solução

Mesmo após uma solução ter sido adotada pela Samsung, Gianesini verificou que os links ainda autenticam os usuários. A coluna Segurança Digital novamente confirmou esse comportamento. Embora os links não sejam mais sequenciais, o que dificulta consideravelmente o ataque, eles aparentemente não têm prazo de validade. O mesmo link recebido na terça-feira (29/11) ainda funcionou nesta sexta (2/12).

Como o link ainda autentica o usuário, algum risco de exposição de dados permanece, desde que o invasor tenha tempo infinito (com links que não expiram) para tentar o acesso. A Samsung foi informada, mas não comentou se considerou esse risco.

Identificador sequencial aponta para 950 mil cadastros

Cadastros recentes no site recebem números de identificação acima de 950.000. Este número também foi verificado pela coluna Segurança Digital. Como esses números são sequenciais, isso significa que a página já cadastrou 950 mil clientes, embora não seja possível afirmar quantos deles ainda têm seus dados no sistema.

A Samsung não confirmou este número.

Fonte: Reclame Aqui - 02/12/2016