Read, hack, repeat

Exclusivo: falha em campanha promocional da TIM expõe dados de clientes

Ramon de Souza 0 min

Uma vulnerabilidade ocasional em uma campanha publicitária da TIM acabou expondo dados pessoais de alguns de seus clientes, apurou a The Hack com exclusividade. A operadora disparou mensagens SMS contendo um link dotado de um código único para um número indefinido de consumidores; porém, ao alterar arbitrariamente tal código (que se encontra no fim do endereço), era possível visualizar informações de outra pessoa.

Fomos notificados a respeito do problema por membros do Grupo de Pesquisa em Tecnologias Emergentes e Segurança de Sistemas (ETSS ou Emerging Technologies and Systems Security), do Instituto de Computação (IComp) da Universidade Federal do Amazonas (UFAM). Os especialistas detectaram a falha de forma praticamente acidental, visto que os próprios receberam o SMS (do número 900-2) e repararam que o código não era tão aleatório quanto aparentava.

Exemplo de SMS recebido pelos clientes

O link em questão seguia a estrutura https://promo.tim.com.br/CÓDIGO, sendo que tal código possuía quatro ou cinco dígitos (números e letras, sempre em minúscula). uma simples alteração no último dígito já era o suficiente para acessar uma tela com o primeiro nome e CPF do cliente, tal como data de vencimento da fatura de seu plano e valor atual do pacote contratado.

Exemplo de captura de dados pessoais (clique na imagem para ampliar)

Para piorar a situação, ao utilizar as ferramentas de desenvolvedor do navegador (como o recurso “Inspecionar” do Google Chrome, por exemplo), era possível visualizar requisições de rede com ainda mais detalhes sobre o cliente: nome completo, email, CPF, endereço residencial com CEP, telefone e nome dos pais. Embora os códigos não fossem necessariamente sequenciais, foi fácil encontrar cerca de dez combinações válidas.

Exemplo de captura de dados pessoais (clique na imagem para ampliar)

A resposta da TIM

Notificada pela The Hack no dia 17 de outubro, a TIM parece ter tomado as devidas providências durante o último fim de semana. Na tarde de ontem (23), a operadora nos enviou o seguinte posicionamento oficial:

“A TIM confirma que enviou aos seus clientes um SMS relacionado à pré-venda do iPhone 11, que se encerrou no dia 18 de outubro. A empresa esclarece que o link da mensagem redirecionava para a loja online da operadora e que não existiam dados pessoais vinculados a esta página.

As telas enviadas à revista 'The Hack', no entanto,  não estão relacionadas a essa ação promocional. A companhia segue investigando o caso e informa que, até o momento, não foi detectada anomalia nos servidores do fornecedor responsável pela promoção. A TIM reitera seu compromisso com os mais altos padrões de segurança da informação.”

Exemplo de captura de dados pessoais (clique na imagem para ampliar)

A The Hack realizou novos testes e, de fato, constatou que a brecha foi consertada. Não é possível saber quantos usuários foram afetados e se algum agente malicioso explorou a vulnerabilidade enquanto ela estava ativa.

Compartilhar twitter/ facebook/ Copiar link
Você se inscreveu com sucesso no The Hack
Bem vindo de Volta!
Massa! Você se registrou com sucesso.
Sucess! Sua conta está completamente ativada.