A Samsung possui uma área dentro do próprio site chamada "Samsung Para Você". Nela, a companhia oferece descontos para toda a gama de produtos; para isso, basta o usuário se registrar e informar dados como nome completo, CPF, endereço e telefone. Acontece que, de acordo com os amigos da Segurança Digital, uma falha no site provavelmente expôs os dados de quase 1 milhão de consumidores cadastrados.
Segundo o site, uma vulnerabilidade foi encontrada no endereço de ativação de cadastro enviado via link por e-mail. Como notam, esse endereço era previsível e tem a capacidade de autenticar o usuário sem qualquer necessidade de senha. Dessa maneira, qualquer cibercriminoso pode alterar o link, invadir um perfil e pegar os dados de um usuário.
O problema é uma vulnerabilidade amadora
O problema foi apontando pelo analista de sistemas Rafael Braga Gianesini, que já havia informado a Samsung sobre o problema anteriormente. Gianesini ainda comentou que o problema é "uma vulnerabilidade amadora". "Qualquer usuário leigo poderia ter acesso aos dados de mais de 900 mil clientes. Não exigia nenhum conhecimento avançado de TI", disse.
A Samsung comentou que "está apurando a situação relatada e segue monitorando o site para agir prontamente caso surja alguma anormalidade". Além disso, a está oferecendo dois números (4004-0000 para capitais e 0800-124421 para demais cidades) como serviço de atendimento ao consumidor.
Imagem obtida pelo G1. Página de cadastro disponível em perfil.
Entenda a vulnerabilidade
"Ao fazer o cadastro ou pedir uma recuperação de senha, o serviço envia um link para o usuário acessar a conta sem precisar informar as suas credenciais", explica a Segurança Digital. "Como o código de registro é sequencial, basta alterar os números para acessar a conta de outra pessoa, ganhando acesso a dados como CPF, endereço e telefone".
Após ser alertada sobre o problema, a Samsung corrigiu o problema. Porém, Gianesini comentou que a questão não foi totalmente solucionada - isso porque o link sequencial não tem mais efeito, mas ainda é possível realizar o acesso com um endereço aleatório.
Em comunicado, como citado, a Samsung está apurando o caso e, qualquer novidade, atualizaremos essa notícia.
Fontes
