Site do Brasil Pré-Pagos apresentava falha que expunha dados do usuário

Por Redação | 28 de Julho de 2014 às 17h18

O leitor do Canaltech Rafael Jorge Manfredini apontou uma falha na integração da API do PayPal dentro da página de recarga do cartão pré-pago virtual do Brasil Pré-Pagos, que exibia todos os dados de um usuário utilizando apenas o e-mail do titular da conta.

A falha ocorria quando um usuário escolhia carregar um valor no seu cartão pré-pago por meio da opção de pagamento por boleto bancário, já tendo emitido um boleto anteriormente.

Ao inserir o e-mail e selecionar a opção de boleto pela segunda vez, o usuário era levado a uma página que perguntava se ele queria cancelar o boleto anterior para a emissão de um novo, ou se desejaria aguardar que o boleto anterior fosse compensado.

PayPal Falha
PayPal Falha

Se o usuário selecionasse a opção de cancelar o boleto anterior para fazer um novo pedido, o site levava a pessoa para uma página de confirmação de informações, que detalhava todos os dados do usuário titular do cartão.

Nesta página, era possível ver informações sensíveis como nome, nome da mãe, CPF, RG, data de nascimento, endereço, CEP e telefone.

Não havia qualquer tipo de confirmação de senha do titular para acessar a página de informações e qualquer um podia coletar os dados do titular se tivesse acesso ao e-mail do usuário, desde que o mesmo tivesse feito uma compra previamente neste mesmo site.

Falha PayPal

Posicionamento

Após contato do Canaltech, a falha foi corrigida. Em comunicado ao site, o PayPal, por meio de sua assessoria de imprensa, informou: "O PayPal leva extremamente a sério a segurança dos dados, do dinheiro e das contas de seus clientes e imediatamente solucionou essa questão. Fomos informados de um acontecimento hoje e rapidamente identificamos que um problema técnico residia no produto pré-pago, que é ofertado no web site de um parceiro. Em nenhum momento o caso envolveu o acesso a informações das contas de clientes PayPal. Trabalhamos com o nosso parceiro para tirar o site do ar até que a situação fosse resolvida. O site já foi corrigido e voltou ao ar. Reiteramos que as informações dos clientes Paypal e as contas PayPal não foram afetadas neste episódio de nenhuma forma."

Inscreva-se em nosso canal do YouTube!

Análises, dicas, cobertura de eventos e muito mais. Todo dia tem vídeo novo para você.