Read, hack, repeat

Site promocional da marca Ypê vaza dados de 1,2 milhão de internautas

Ramon de Souza

Um site promocional mantido pela marca de produtos de limpeza Ypê deixou vazar dados de 1,2 milhão de internautas que haviam se cadastrado para aproveitar promoções e concorrer a brindes, conforme noticiado na última sexta-feira (12) pelo TecMundo.

A brecha permitia que qualquer pessoa visualizasse informações cadastrais como RG, CPF, ID de participação, data de nascimento, sexo, cidade, email, senha, telefone, data de cadastro, endereço IP, navegador utilizado e sistema operacional do aparelho usado.

O problema em questão pode ser categorizado como Insecure Direct Object Reference (IDOR), ou Referência Insegura e Direta a Objetos. Basicamente, neste tipo de vulnerabilidade, o internauta consegue acessar dados que deveriam permanecer ocultos ao simplesmente alterar parâmetros na URL do site inseguro.

De acordo com o TecMundo — que descobriu a vulnerabilidade através de uma fonte anônima —, a Ypê teria sido notificada a respeito do assunto com antecedência, mas consertou o problema apenas na última quarta-feira (10). Em nota, a companhia afirmou que “a vulnerabilidade apontada já havia sido detectada e corrigida, e permanece em processo de monitoramento”.

Confira o comunicado oficial da Ypê na íntegra:

“Esclarecemos que a vulnerabilidade apontada já havia sido detectada e corrigida, e permanece em processo de monitoramento. A empresa informa, ainda, que mantém uma política de segurança da informação para o cumprimento de todas as normas legais a que está sujeita, bem como controles relativos à privacidade de dados”.


Fonte: TecMundo

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.