Read, hack, repeat

Exclusivo: falha em campanha promocional da TIM expõe dados de clientes

Ramon de Souza

Uma vulnerabilidade ocasional em uma campanha publicitária da TIM acabou expondo dados pessoais de alguns de seus clientes, apurou a The Hack com exclusividade. A operadora disparou mensagens SMS contendo um link dotado de um código único para um número indefinido de consumidores; porém, ao alterar arbitrariamente tal código (que se encontra no fim do endereço), era possível visualizar informações de outra pessoa.

Fomos notificados a respeito do problema por membros do Grupo de Pesquisa em Tecnologias Emergentes e Segurança de Sistemas (ETSS ou Emerging Technologies and Systems Security), do Instituto de Computação (IComp) da Universidade Federal do Amazonas (UFAM). Os especialistas detectaram a falha de forma praticamente acidental, visto que os próprios receberam o SMS (do número 900-2) e repararam que o código não era tão aleatório quanto aparentava.

Exemplo de SMS recebido pelos clientes

O link em questão seguia a estrutura https://promo.tim.com.br/CÓDIGO, sendo que tal código possuía quatro ou cinco dígitos (números e letras, sempre em minúscula). uma simples alteração no último dígito já era o suficiente para acessar uma tela com o primeiro nome e CPF do cliente, tal como data de vencimento da fatura de seu plano e valor atual do pacote contratado.

Exemplo de captura de dados pessoais (clique na imagem para ampliar)

Para piorar a situação, ao utilizar as ferramentas de desenvolvedor do navegador (como o recurso “Inspecionar” do Google Chrome, por exemplo), era possível visualizar requisições de rede com ainda mais detalhes sobre o cliente: nome completo, email, CPF, endereço residencial com CEP, telefone e nome dos pais. Embora os códigos não fossem necessariamente sequenciais, foi fácil encontrar cerca de dez combinações válidas.

Exemplo de captura de dados pessoais (clique na imagem para ampliar)

A resposta da TIM

Notificada pela The Hack no dia 17 de outubro, a TIM parece ter tomado as devidas providências durante o último fim de semana. Na tarde de ontem (23), a operadora nos enviou o seguinte posicionamento oficial:

“A TIM confirma que enviou aos seus clientes um SMS relacionado à pré-venda do iPhone 11, que se encerrou no dia 18 de outubro. A empresa esclarece que o link da mensagem redirecionava para a loja online da operadora e que não existiam dados pessoais vinculados a esta página.

As telas enviadas à revista 'The Hack', no entanto,  não estão relacionadas a essa ação promocional. A companhia segue investigando o caso e informa que, até o momento, não foi detectada anomalia nos servidores do fornecedor responsável pela promoção. A TIM reitera seu compromisso com os mais altos padrões de segurança da informação.”

Exemplo de captura de dados pessoais (clique na imagem para ampliar)

A The Hack realizou novos testes e, de fato, constatou que a brecha foi consertada. Não é possível saber quantos usuários foram afetados e se algum agente malicioso explorou a vulnerabilidade enquanto ela estava ativa.

Compartilhar twitter/ facebook/ copiar link
Insira alguma palavra-chave. 0 Aqui está o que nós encontramos

Que tal falar conosco sobre parcerias e oportunidades?

Vamos tomar um café. Mande um email para hello@thehack.com.br.