Vaza chave de email do Site “Não me perturbe” que permite ataque hacker

Hoje (16) começou a funcionar o site “Não Me Perturbe”, neste site é realizado o cadastro de números para bloquear chamadas de telemarketing das empresas Algar, Claro, Oi, Nextel, Sercomtel, Sky, TIM e Vivo. Esse acordo foi feito entre as operadoras e a Anatel para “padronizar o uso deste mecanismo [telemarketing], em alinhamento com o crescente debate do tema pela sociedade e em respeito ao cidadão”, informa o site. Na noite de ontem, terça-feira (16), o site  “Não Me Perturbe” acabou vazando a chave do SendGrid.

Mais de 330 mil pessoas fizeram cadastros no site, segundo o SindiTeleBrasil.

Na noite de ontem terça-feira (16), a denúncia do vazamento chegou ao TecMundo por uma fonte anônima. O Sendgrid é um serviço de email que funciona como uma nuvem que fornece uma entrega de email transacional, escalabilidade e análise em tempo real confiáveis com APIs flexíveis que facilitam a integração personalizada, informa o site da Microsoft Azure.

“De posse da chave, um usuário malicioso pode usá-la para enviar emails se passando pelo site, até com todas as validações de segurança que um email real do site teria”, explica o pesquisador de segurança Boot Santos, que foi consultado pelo TecMundo sobre o caso. “O cenário de ataque aproveitando os vazamentos de emails e dados é um ataque de phishing direcionado”.

O ‘Não Me Perturbe’ foi corrigido após a publicação da matéria, na madrugada de quarta-feira (17).

Um cibercriminoso com essa chave em mãos poderia simular um e-mail do Não Me Perturbe, com domínio e credenciais reais, para roubar dados pessoais e até financeiros de uma pessoa.

O site TecMundo entrou em contato com a Anatel sobre o caso e busca contato com as operadoras envolvidas para um posicionamento e uma solução para o problema.

Esse tipo de problema é um erro básico de configuração do servidor e do desenvolvedor, tendo em vista que o desenvolvimento do site “não foi dos melhores”, tanto em relação à aparência como também lembra um domínio falso do que verídico.

Será efetivado o bloqueio em até 30 dias corridos a partir da data da solicitação.

As operadoras responsáveis pelo site são: Algar, Claro, Oi, Nextel, Sercomtel, Sky, TIM e Vivo, as mesmas criaram o domínio após pedido da Anatel (Agência Nacional de Telecomunicações).

Milhões de dados serão repassados através dele: o usuário pode registrar seu número de telefone no Não Me Perturbe para não receber ligações de telemarketing das prestadoras de telecomunicações signatárias, com natureza de venda de produtos e serviços (telefonia fixa, celular, internet e TV por assinatura).

“É um canal único na internet no qual o usuário fará a inclusão de seu número no Cadastro Nacional Setorial de Não Perturbe e poderá escolher de quais operadoras não deseja receber ligações. Para isso, terá que informar nome completo, CPF e e-mail, para criar um login e senha de acesso. O bloqueio será efetivado em até 30 dias corridos a partir da data da solicitação”, explica a Sinditelebrasil.

Fontes Tecmundo

Deixe um comentário