Site ‘Não Me Perturbe’ vaza chave de email que permite ataque hacker

O site “Não Me Perturbe” começou a funcionar hoje (16) e permite o cadastro de números para bloquear chamadas de telemarketing das empresas Algar, Claro, Oi, Nextel, Sercomtel, Sky, TIM e Vivo. A iniciativa é fruto de um acordo entre operadoras e a Anatel para “padronizar o uso deste mecanismo [telemarketing], em alinhamento com o crescente debate do tema pela sociedade e em respeito ao cidadão”, informa o site. Na noite desta terça-feira (16), o “Não Me Perturbe” acabou vazando a chave do SendGrid.
Já são mais de 330 mil cadastros de cidadãos no site, segundo o SindiTeleBrasil
A denúncia do vazamento chegou ao The Technology no início da noite desta terça-feira (16) por uma fonte anônima. O Sendgrid é um serviço de email baseado em nuvem que fornece uma entrega de email transacional, escalabilidade e análise em tempo real confiáveis com APIs flexíveis que facilitam a integração personalizada, informa o site da Microsoft Azure.
“De posse da chave, um usuário malicioso pode usá-la para enviar emails se passando pelo site, até com todas as validações de segurança que um email real do site teria”, explica o pesquisador de segurança Boot Santos, que foi consultado pelo The Technology sobre o caso. “O cenário de ataque aproveitando os vazamentos de emails e dados é um ataque de phishing direcionado”.
apiChave Sendgrid
  • O que isso significa? Que um cibercriminoso com essa chave em mãos poderia simular um email do Não Me Perturbe, com domínio e credenciais reais, para roubar dados pessoais e até financeiros de um cidadão
apiArquivos
The Technology entrou em contato com a Anatel sobre o caso e busca contato com as operadoras envolvidas para um posicionamento e uma solução para o problema.
Vale notar que o problema é um erro básico de configuração do servidor e do desenvolvedor. Ao olhar o site, está claro que seu desenvolvimento “não foi dos melhores”, visto que, se julgarmos apenas a aparência, o que notamos é um site que mais lembra um domínio falso do que algo legítimo.
O bloqueio será efetivado em até 30 dias corridos a partir da data da solicitação
As responsáveis pelo site são as operadoras Algar, Claro, Oi, Nextel, Sercomtel, Sky, TIM e Vivo, que criaram o domínio após pedido da Anatel (Agência Nacional de Telecomunicações).
Por ele, milhões de dados serão repassados: o usuário pode registrar seu número de telefone no Não Me Perturbe para não receber ligações de telemarketing das prestadoras de telecomunicações signatárias, com natureza de venda de produtos e serviços (telefonia fixa, celular, internet e TV por assinatura).

0 Comentários:

Postar um comentário