Os dados privados de usuários do Buscapé, um dos maiores sites de comparação de preços online, estão expostos na internet. Em denúncia recebida pelo TecMundo, os pesquisadores de segurança “Uliana” e “Subsolo” comentaram que dados como nome completo, endereço de residência, email, telefone, apelido, documentos e senhas de mais de 10 milhões de usuários estão disponíveis livremente para acesso — no total, com um pouco mais de trabalho, é possível encontrar dados de até 100 milhões de usuários registrados.

• É a segunda empresa brasileira que sofre um “vazamento grande” neste ano: a Netshoes foi invadida e também expôs os dados de mais de 1 milhão de clientes

“A única parte menos ruim disso tudo é que a maioria das senhas são criptografadas em padrão MD5, e algumas delas não podem ser quebradas com ataques de força bruta (lembre-se sempre de fazer uma senha complexa). Contudo, um atacante mais instruído, pode conseguir quebrá-las sem muito esforço, tendo em vista que a SALT para o processo criptográfico está disponível no repositório do código fonte do aplicativo Bondfaro”, comentou Uliana.

Segundo o pesquisador, o problema do Buscapé Company está “com sua instância centralizada”. Isso significa que todos os serviços do Buscapé estão fixados em apenas um lugar online. “Esse problema, pode acarretar exposição demasiada de recursos que não deveriam, em hipótese alguma, ser visíveis para alguém fora do ambiente de produção. De primeiro momento, podemos enumerar tudo isso somente analisando o conteúdo dos scripts da home do site”, disse

Uiliana

Uliana comentou que um atacante malicioso poderia facilmente enumerar todos os domínios de produção do sistema: bastando pressionar CTRL + U para acessar os “buckets via o código-fonte da página” [buckets das instâncias de armazenamento do servidor, famosos S3 da Amazon].

No total, são cerca de 900 GB de informações sensíveis de usuários do Buscapé disponíveis online, totalmente postas a públicas nesse endereço. O pesquisador nota que os dados são recentes, pegando usuários registrados de 2017.

Não estamos falando de poucos clientes, de acordo com uma análise básica, é algo na faixa dos 100 milhões de contas que podem ter sido totalmente comprometidas

“Além disso, temos também outras vulnerabilidades que requerem certo nível de habilidade para serem exploradas, mas que permitem a exploração do sistema de arquivos da instância de servidor. Essa falha é facilmente encontrada explorando alguns endpoints da API REST do aplicativo para Android e iOS do Buscapé, que são suscetíveis aos famosos ataques CSRF”.

Segundo o pesquisador, “o problema maior, não é a integridade dos dados das aplicações, que podem sofrer de engenharia reversa ou algo do tipo, mas sim a segurança dos usuários e clientes das várias aplicações da empresa, que têm todos os dados do cadastro indexados dentro da mesma falha. E não estamos falando de poucos clientes, de acordo com uma análise básica, é algo na faixa dos 100 milhões de contas que podem ter sido totalmente comprometidas”.