Site ‘Não Me Perturbe’ vaza chave de email que permite ataque hacker

2 min de leitura
Imagem de: Site ‘Não Me Perturbe’ vaza chave de email que permite ataque hacker
Avatar do autor

O site “Não Me Perturbe” começou a funcionar hoje (16) e permite o cadastro de números para bloquear chamadas de telemarketing das empresas Algar, Claro, Oi, Nextel, Sercomtel, Sky, TIM e Vivo. A iniciativa é fruto de um acordo entre operadoras e a Anatel para “padronizar o uso deste mecanismo [telemarketing], em alinhamento com o crescente debate do tema pela sociedade e em respeito ao cidadão”, informa o site. Na noite desta terça-feira (16), o “Não Me Perturbe” acabou vazando a chave do SendGrid.

Já são mais de 330 mil cadastros de cidadãos no site, segundo o SindiTeleBrasil

A denúncia do vazamento chegou ao TecMundo no início da noite desta terça-feira (16) por uma fonte anônima. O Sendgrid é um serviço de email baseado em nuvem que fornece uma entrega de email transacional, escalabilidade e análise em tempo real confiáveis com APIs flexíveis que facilitam a integração personalizada, informa o site da Microsoft Azure.

“De posse da chave, um usuário malicioso pode usá-la para enviar emails se passando pelo site, até com todas as validações de segurança que um email real do site teria”, explica o pesquisador de segurança Boot Santos, que foi consultado pelo TecMundo sobre o caso. “O cenário de ataque aproveitando os vazamentos de emails e dados é um ataque de phishing direcionado”.

  • O 'Não Me Perturbe' foi corrigido após a publicação da matéria, na madrugada de quarta-feira (17)
  • Nota do SindiTeleBrasil sobre o caso: “O SindiTelebrasil informa que não houve vazamento de dados dos consumidores cadastrados no site “Não me Perturbe”. Foi identificado um aspecto de sistema que permitia o envio de mensagens de e-mail utilizando o domínio @naomeperturbe.com.br, mas não foi evidenciada utilização indevida. Prontamente, foram tomadas as devidas providências e o website já funciona normalmente

apiChave Sendgrid

  • O que isso significa? Que um cibercriminoso com essa chave em mãos poderia simular um email do Não Me Perturbe, com domínio e credenciais reais, para roubar dados pessoais e até financeiros de um cidadão

apiArquivos

O TecMundo entrou em contato com a Anatel sobre o caso e busca contato com as operadoras envolvidas para um posicionamento e uma solução para o problema.

Vale notar que o problema é um erro básico de configuração do servidor e do desenvolvedor. Ao olhar o site, está claro que seu desenvolvimento “não foi dos melhores”, visto que, se julgarmos apenas a aparência, o que notamos é um site que mais lembra um domínio falso do que algo legítimo.

O bloqueio será efetivado em até 30 dias corridos a partir da data da solicitação

As responsáveis pelo site são as operadoras Algar, Claro, Oi, Nextel, Sercomtel, Sky, TIM e Vivo, que criaram o domínio após pedido da Anatel (Agência Nacional de Telecomunicações).

Por ele, milhões de dados serão repassados: o usuário pode registrar seu número de telefone no Não Me Perturbe para não receber ligações de telemarketing das prestadoras de telecomunicações signatárias, com natureza de venda de produtos e serviços (telefonia fixa, celular, internet e TV por assinatura).

apiEmail simulando o Não Me Perturbe

“É um canal único na internet no qual o usuário fará a inclusão de seu número no Cadastro Nacional Setorial de Não Perturbe e poderá escolher de quais operadoras não deseja receber ligações. Para isso, terá que informar nome completo, CPF e e-mail, para criar um login e senha de acesso. O bloqueio será efetivado em até 30 dias corridos a partir da data da solicitação”, explica a Sinditelebrasil.

Como fazer denúncias ao TecMundo

Comentários

Conteúdo disponível somente online
Veja também
Site ‘Não Me Perturbe’ vaza chave de email que permite ataque hacker