Um site promocional mantido pela marca de produtos de limpeza Ypê deixou vazar dados de 1,2 milhão de internautas que haviam se cadastrado para aproveitar promoções e concorrer a brindes, conforme noticiado na última sexta-feira (12) pelo TecMundo.
A brecha permitia que qualquer pessoa visualizasse informações cadastrais como RG, CPF, ID de participação, data de nascimento, sexo, cidade, email, senha, telefone, data de cadastro, endereço IP, navegador utilizado e sistema operacional do aparelho usado.
O problema em questão pode ser categorizado como Insecure Direct Object Reference (IDOR), ou Referência Insegura e Direta a Objetos. Basicamente, neste tipo de vulnerabilidade, o internauta consegue acessar dados que deveriam permanecer ocultos ao simplesmente alterar parâmetros na URL do site inseguro.
De acordo com o TecMundo — que descobriu a vulnerabilidade através de uma fonte anônima —, a Ypê teria sido notificada a respeito do assunto com antecedência, mas consertou o problema apenas na última quarta-feira (10). Em nota, a companhia afirmou que “a vulnerabilidade apontada já havia sido detectada e corrigida, e permanece em processo de monitoramento”.
Confira o comunicado oficial da Ypê na íntegra:
“Esclarecemos que a vulnerabilidade apontada já havia sido detectada e corrigida, e permanece em processo de monitoramento. A empresa informa, ainda, que mantém uma política de segurança da informação para o cumprimento de todas as normas legais a que está sujeita, bem como controles relativos à privacidade de dados”.
- Leia mais notícias sobre Vazamentos.
Fonte: TecMundo