Falha em site da Samsung pode ter exposto dados de 900 mil clientes

Uma vulnerabilidade no site da Samsung pode dar acesso de mais de 900 mil clientes da fabricante a qualquer pessoa com um navegador. Um analista de sistemas descobriu que um link enviado pelo serviço Samsung Para Você é previsível e poderia ser alterado para qualquer pessoa cadastrada acessar os dados de outro usuário.

Ao fazer o cadastro ou pedir uma recuperação de senha, o serviço envia um link para o usuário acessar a conta sem precisar informar as suas credenciais. Como o código de registro é sequencial, basta alterar os números para acessar a conta de outra pessoa, ganhando acesso a dados como CPF, endereço e telefone.

Um atacante poderia utilizar estes dados para realizar golpes de engenharia social, passando-se pela Samsung para tirar outros dados ou dinheiro do cliente, ou até mesmo utilizar o serviço em benefício próprio, lesando o consumidor.

O Samsung Para Você é um site de brindes e promoções da fabricante dos smartphones Galaxy, e qualquer pessoa poderia alterar o endereço de outra para se aproveitar desses benefícios.
Sem canal para informar falhas

Segundo o G1, a Samsung não informou se possui algum contato para usuários ou especialistas informarem sobre falhas encontradas em seus serviços no Brasil. É comum que empresas de tecnologia tenham, inclusive, algum tipo de bonificação para quem descobre vulnerabilidades – como fazem Google, Apple, Facebook, etc.

O analista de sistemas Rafael Gianesini disse não ter encontrado um canal deste tipo da Samsung, e por isso tentou entrar em contato, no início de novembro, pela página “Envie um email para a Samsung”, com o qual teve problemas técnicos.

Apenas no dia 21, depois que um técnico do site Magazine Luiza, parceiro da loja online da fabricante de smartphones, retornou um contato tentado via chat em 8 de novembro, foi que o problema finalmente pode ser relatado. A falha foi corrigida logo no dia seguinte.

Solução insuficiente
Porém, segundo Gianesini, o problema não foi totalmente solucionado. Apesar de o link sequencial não ter mais efeito, ainda é possível buscar acesso com um endereço aleatório. O ataque ficou dificultado, mas, como os links não expiram, ainda é possível acessar qualquer conta, com um pouco de sorte. 

A Samsung foi procurada pelo G1, mas se limitou a dizer que está “apurando a situação relatada e segue monitorando o site para agir prontamente caso surja alguma anormalidade”. Estima-se, pelos números dos links sequenciais, que havia mais de 950 mil usuários cadastrados no serviço Samsung Para Você. Porém, não há como saber quantos deles estão ativos. A companhia não confirmou o número.

 

Página de cadastro no site 'Samsung para Você' que pode ser visualizada após acesso ao perfil. (Foto: Reprodução)