Os dados privados de usuários do Buscapé, um dos maiores sites de comparação de preços online, estão expostos na internet. Em denúncia recebida pelo TecMundo, os pesquisadores de segurança 'Uliana' e 'Subsolo', indicados pelo também pesquisador Luiz Gustavo Marques Florindo, comentaram que dados como nome completo, endereço de residência, email, telefone, apelido, documentos e senhas de mais de 10 milhões de usuários estão disponíveis livremente para acesso — no total, com um pouco mais de trabalho, é possível encontrar dados de até 100 milhões de usuários registrados.
O Buscapé afirmou que 'analisa a denúncia de violação de dados e que tomará as medidas legais cabíveis, se necessário'
- É a segunda empresa brasileira que sofre um "vazamento grande" neste ano: a Netshoes foi invadida e também expôs os dados de mais de 1 milhão de clientes
"A única parte menos ruim disso tudo é que a maioria das senhas são criptografadas em padrão MD5, e algumas delas não podem ser quebradas com ataques de força bruta (lembre-se sempre de fazer uma senha complexa). Contudo, um atacante mais instruído, pode conseguir quebrá-las sem muito esforço, tendo em vista que a SALT para o processo criptográfico está disponível no repositório do código fonte do aplicativo Bondfaro", comentou Uliana.
Segundo o pesquisador, o problema do Buscapé Company está "com sua instância centralizada". Isso significa que todos os serviços do Buscapé estão fixados em apenas um lugar online. "Esse problema, pode acarretar exposição demasiada de recursos que não deveriam, em hipótese alguma, ser visíveis para alguém fora do ambiente de produção. De primeiro momento, podemos enumerar tudo isso somente analisando o conteúdo dos scripts da home do site", disse.
- O Tecmundo entrou em contato com o Buscapé. A companhia afirmou que "analisa a denúncia de violação de dados e que tomará as medidas legais cabíveis, se necessário" e "que os dados de seus clientes são criptografados e protegidos". O posicionamento da companhia pode ser encontrado integralmente ao final da reportagem
Uiliana
Uliana comentou que um atacante malicioso poderia facilmente enumerar todos os domínios de produção do sistema: bastando pressionar CTRL + U para acessar os "buckets via o código-fonte da página" [buckets das instâncias de armazenamento do servidor, famosos S3 da Amazon].
No total, são cerca de 900 GB de informações sensíveis de usuários do Buscapé disponíveis online, totalmente postas a públicas nesse endereço. O pesquisador nota que os dados são recentes, pegando usuários registrados de 2017.
Não estamos falando de poucos clientes, de acordo com uma análise básica, é algo na faixa dos 100 milhões de contas que podem ter sido totalmente comprometidas
"Além disso, temos também outras vulnerabilidades que requerem certo nível de habilidade para serem exploradas, mas que permitem a exploração do sistema de arquivos da instância de servidor. Essa falha é facilmente encontrada explorando alguns endpoints da API REST do aplicativo para Android e iOS do Buscapé, que são suscetíveis aos famosos ataques CSRF".
Segundo o pesquisador, "o problema maior, não é a integridade dos dados das aplicações, que podem sofrer de engenharia reversa ou algo do tipo, mas sim a segurança dos usuários e clientes das várias aplicações da empresa, que têm todos os dados do cadastro indexados dentro da mesma falha. E não estamos falando de poucos clientes, de acordo com uma análise básica, é algo na faixa dos 100 milhões de contas que podem ter sido totalmente comprometidas".
Parte de dados acessíveis
Onde estão os dados?
É preciso notar que, no caso, os dados sensíveis não estão compilados em um documento como Pastebin, por exemplo: é necessário um trabalho para obter esses dados. Mesmo assim, a falta de segurança é clara na "base de dados do Ebit", nota Uliana.
"É triste dizer isso, mas todos, sem exceção, que saibam procurar bem, podem encontrar aproximadamente 10 milhões de contas em um arquivo de dump de alguma base de dados do Ebit. Como podemos ver nas imagens, o arquivo é bem extenso, como analisado pela aplicação de linha de comando file", explicou.
Para um cibercriminoso com um conhecimento considerável, as informações obtidas por podem ser utilizadas para diversos golpes
Uliana disse que ao TecMundo que "subiu essa instância em uma base de dados MySQL para visualizar melhor as informações indexadas". Dessa maneira, um "número exorbitante de resultados pela consulta da query SQL" foi encontrado. Além disso, que "existem muito mais informações que podem ser acessadas", porém, "pelo tamanho das informações, me limitei apenas a analisar algumas delas".
"Um atacante tem acesso as credenciais dos serviços de versionamento de código, isso significa que, grande parte do código fonte de todas as aplicações, dispostas no servidor git no domínio principal, pode ser acessada pelo atacante", nota Uliana. "Para uma empresa multimilionária, disponibilizar seu código fonte dessa forma, que originalmente é privado e fechado, pode resultar em mais brechas de segurança, assim como pirateamento e manipulação de resultados em alguns dos seus serviços".
Busca por dados
O que você pode fazer
Caso você tenha uma conta registrada no Buscapé, é interessante que você troque todas as senhas dos serviços vinculados, notou Uliana. "Para a empresa, a utilização de políticas mais severas quanto a incidentes do tipo, e uma infraestrutura descentralizada, juntamente do acesso ao código fonte das suas aplicações somente via protocolo SSH em seu repositório Git", diz o pesquisador. "Além disso, adotar um melhor design de rotas de API RESTs seria muito bem vindo, tendo em vista a falta de segurança nas atuais, permitindo até mesmo CSRF".
Um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis
Para um cibercriminoso com um conhecimento considerável, as informações obtidas por podem ser utilizadas para diversos golpes. Um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis.
Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".
- Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.
)
)
)
Posicionamento do Buscapé
"Com relação ao caso em questão, o Buscapé informa que sua equipe técnica dedicada à segurança da informação analisa a denúncia de violação de dados e que tomará as medidas legais cabíveis, se necessário. A companhia esclarece, ainda, que os dados de seus clientes são criptografados e protegidos. A companhia reitera o seu compromisso com a segurança dos dados dos seus clientes e, por isso, investe constantemente em tecnologias para proteção de sua plataforma.
Nos colocamos à disposição para quaisquer esclarecimentos por meio de nossa assessoria de imprensa".
