Uma vulnerabilidade ocasional em uma campanha publicitária da TIM acabou expondo dados pessoais de alguns de seus clientes, apurou a The Hack com exclusividade. A operadora disparou mensagens SMS contendo um link dotado de um código único para um número indefinido de consumidores; porém, ao alterar arbitrariamente tal código (que se encontra no fim do endereço), era possível visualizar informações de outra pessoa.
Fomos notificados a respeito do problema por membros do Grupo de Pesquisa em Tecnologias Emergentes e Segurança de Sistemas (ETSS ou Emerging Technologies and Systems Security), do Instituto de Computação (IComp) da Universidade Federal do Amazonas (UFAM). Os especialistas detectaram a falha de forma praticamente acidental, visto que os próprios receberam o SMS (do número 900-2) e repararam que o código não era tão aleatório quanto aparentava.
O link em questão seguia a estrutura https://promo.tim.com.br/CÓDIGO, sendo que tal código possuía quatro ou cinco dígitos (números e letras, sempre em minúscula). uma simples alteração no último dígito já era o suficiente para acessar uma tela com o primeiro nome e CPF do cliente, tal como data de vencimento da fatura de seu plano e valor atual do pacote contratado.
Para piorar a situação, ao utilizar as ferramentas de desenvolvedor do navegador (como o recurso “Inspecionar” do Google Chrome, por exemplo), era possível visualizar requisições de rede com ainda mais detalhes sobre o cliente: nome completo, email, CPF, endereço residencial com CEP, telefone e nome dos pais. Embora os códigos não fossem necessariamente sequenciais, foi fácil encontrar cerca de dez combinações válidas.
A resposta da TIM
Notificada pela The Hack no dia 17 de outubro, a TIM parece ter tomado as devidas providências durante o último fim de semana. Na tarde de ontem (23), a operadora nos enviou o seguinte posicionamento oficial:
“A TIM confirma que enviou aos seus clientes um SMS relacionado à pré-venda do iPhone 11, que se encerrou no dia 18 de outubro. A empresa esclarece que o link da mensagem redirecionava para a loja online da operadora e que não existiam dados pessoais vinculados a esta página.
As telas enviadas à revista 'The Hack', no entanto, não estão relacionadas a essa ação promocional. A companhia segue investigando o caso e informa que, até o momento, não foi detectada anomalia nos servidores do fornecedor responsável pela promoção. A TIM reitera seu compromisso com os mais altos padrões de segurança da informação.”
A The Hack realizou novos testes e, de fato, constatou que a brecha foi consertada. Não é possível saber quantos usuários foram afetados e se algum agente malicioso explorou a vulnerabilidade enquanto ela estava ativa.