Uma plataforma de gestão de clientes que utiliza redes WiFi para prover inteligência comercial acabou expondo dados de aproximadamente 72 mil brasileiros, conforme apurado com exclusividade pela The Hack. O sistema em questão é o LetsWifi, desenvolvido pela empresa pernambucana LetsUp (subsidiária do grupo QualiHouse Inovações Tecnológicas) e que é utilizado por um total de 82 estabelecimentos comerciais ao redor do país, incluindo redes de cafeterias, confeitarias, lojas e restaurantes.
Comercializada em planos mensais que partem de R$ 89,90, a solução age como um gateway de conexão, exigindo que os clientes do estabelecimento comercial realizem um cadastro para usar o WiFi de visitante. Com isso, a plataforma promete prover inteligência de mercado ao analisar informações pessoais dos consumidores (nome, email, sexo, idade etc.) para ajudar o lojista a personalizar sua experiência de acordo com o seu público. O site oficial da ferramenta destaca a sua facilidade de uso e de customização.
O problema é que, conforme denunciado por uma fonte anônima, a LetsUp “esqueceu” um diretório configurado como público no qual eram armazenados o código-fonte da aplicação comercializada, permitindo que qualquer pessoa fizesse o download dos arquivos. Dentro dos documentos, era possível encontrar as credenciais do banco de dados MySQL da plataforma, que contém toda a relação de empresas usuárias da plataforma, tal como todos os seus clientes; no total, são 72.457 indivíduos afetados.
No que diz respeito aos dados dos usuários, as informações expostas incluem nome completo, perfil do Facebook (se disponível), data de nascimento, email, sexo, imagem do perfil, data de criação, data de atualização ou último acesso, lista de dispositivos usados (com seus respectivos endereços MAC), lojas visitadas e até mesmo duração da conexão. No que tange aos dados dos lojistas, temos o nome da empresa, número do CNPJ, tipo de estabelecimento e número de série dos hotspots configurados.
Erro bobo, porém perigoso
Ao acessar a URL indicada pela fonte, a The Hack confirmou que, de fato, os arquivos estavam disponíveis publicamente e incluíam as credenciais necessárias para acessar o banco de dados MySQL da plataforma remotamente — aqui, cabe a observação de que o nome de usuário e a senha em questão eram extremamente fracas e previsíveis.
O delator observa ainda que, além do roubo de informações, um criminoso poderia facilmente obter um perfil comportamental dos clientes ao cruzar os dados para obter um relatório com dias e horários de acesso, tal como lojas visitadas com maior frequência, tempo de permanência no local e dispositivo primário utilizado. Tanto detalhamento assim abre espaço para o planejamento de golpes e crimes altamente personalizados.
Outro ataque possível seria a modificação de partes da aplicação LetsWifi original — seria fácil manipular os arquivos para alterar textos de boas-vindas, mensagens de autenticação e até mesmo a tela de inscrição, criando formulários maliciosos que capturam dados sensíveis dos internautas.
O que foi feito?
Após apurar a falha, a The Hack notificou a LetsUp no dia 5 de novembro; poucos dias depois, percebemos que os arquivos já não se encontravam mais na URL em questão, o que significa que a empresa está ciente do incidente. Contudo, até o momento em que esta reportagem foi escrita, a companhia não havia respondido aos nossos contatos e tampouco emitido um pronunciamento oficial a respeito da falha.
Como medida preventiva, a The Hack informa que está notificando os estabelecimentos afetados para que eles adotem as devidas providências.
- Leia mais notícias sobre Vulnerabilidades.