Read, hack, repeat

Site promocional da marca Ypê vaza dados de 1,2 milhão de internautas

Ramon de Souza 0 min

Um site promocional mantido pela marca de produtos de limpeza Ypê deixou vazar dados de 1,2 milhão de internautas que haviam se cadastrado para aproveitar promoções e concorrer a brindes, conforme noticiado na última sexta-feira (12) pelo TecMundo.

A brecha permitia que qualquer pessoa visualizasse informações cadastrais como RG, CPF, ID de participação, data de nascimento, sexo, cidade, email, senha, telefone, data de cadastro, endereço IP, navegador utilizado e sistema operacional do aparelho usado.

O problema em questão pode ser categorizado como Insecure Direct Object Reference (IDOR), ou Referência Insegura e Direta a Objetos. Basicamente, neste tipo de vulnerabilidade, o internauta consegue acessar dados que deveriam permanecer ocultos ao simplesmente alterar parâmetros na URL do site inseguro.

De acordo com o TecMundo — que descobriu a vulnerabilidade através de uma fonte anônima —, a Ypê teria sido notificada a respeito do assunto com antecedência, mas consertou o problema apenas na última quarta-feira (10). Em nota, a companhia afirmou que “a vulnerabilidade apontada já havia sido detectada e corrigida, e permanece em processo de monitoramento”.

Confira o comunicado oficial da Ypê na íntegra:

“Esclarecemos que a vulnerabilidade apontada já havia sido detectada e corrigida, e permanece em processo de monitoramento. A empresa informa, ainda, que mantém uma política de segurança da informação para o cumprimento de todas as normas legais a que está sujeita, bem como controles relativos à privacidade de dados”.


Fonte: TecMundo

Compartilhar twitter/ facebook/ Copiar link
Você se inscreveu com sucesso no The Hack
Bem vindo de Volta!
Massa! Você se registrou com sucesso.
Sucess! Sua conta está completamente ativada.