Consumidor: falha em campanha promocional da TIM expõe dados de clientes

Notícia extraída do The Hack.

Uma vulnerabilidade ocasional em uma campanha publicitária da TIM acabou expondo dados pessoais de alguns de seus clientes, apurou a The Hack com exclusividade. A operadora disparou mensagens SMS contendo um link dotado de um código único para um número indefinido de consumidores; porém, ao alterar arbitrariamente tal código (que se encontra no fim do endereço), era possível visualizar informações de outra pessoa.

O link em questão seguia a estrutura https://promo.tim.com.br/CÓDIGO, sendo que tal código possuía quatro ou cinco dígitos (números e letras, sempre em minúscula). uma simples alteração no último dígito já era o suficiente para acessar uma tela com o primeiro nome e CPF do cliente, tal como data de vencimento da fatura de seu plano e valor atual do pacote contratado.

Para piorar a situação, ao utilizar as ferramentas de desenvolvedor do navegador (como o recurso “Inspecionar” do Google Chrome, por exemplo), era possível visualizar requisições de rede com ainda mais detalhes sobre o cliente: nome completo, email, CPF, endereço residencial com CEP, telefone e nome dos pais. Embora os códigos não fossem necessariamente sequenciais, foi fácil encontrar cerca de dez combinações válidas.

Mais informações no site da The Hack.