Advertisement

Ypê: vazadas informações de 1,2 milhão de consumidores

O site ‘Promoção Ypê’ deixou expostos os dados dos usuários interessados em ganhar brindes e prêmios.

Empresas / 15:14 - 12 de Jul de 2019

Siga o Monitor no twitter.com/sigaomonitor

Os dados pessoais de cerca de 1,2 milhão de consumidores cadastrados na Ypê foram vazados. Segundo o portal Tecmundo, o site ‘Promoção Ypê’, da marca de produtos de limpeza pertencente à Química Amparo, deixou expostos os dados dos usuários interessados em ganhar brindes e prêmios ofertados, além de aproveitar descontos. O site expôs informações como: nomes completos, RG, CPF, ID de participação, data de nascimento, sexo, cidade, email, senha, telefone, data de cadastro, endereço IP, navegador utilizado e sistema operacional do computador/celular.

Na manhã do último dia 5, o TecMundo recebeu o alerta por uma fonte anônima citando que o vazamento ao veículo foi sua última esperança. Isso porque a fonte teria alertado a Ypê algumas vezes e, de acordo com ela, “nenhuma providência foi tomada e isso é um descaso com os consumidores”.

No total, foi possível acompanhar 1.205.477 registros no site de pessoas em todo o Brasil.

A Ypê foi contatada ainda no dia 5, segundo o Tecmundo, e afirmou que a vulnerabilidade já tinha sido detectada e corrigida, no caso, ela estaria em processo de monitoramento. Mesmo assim, foi possível acessar os dados sem qualquer dificuldade. Acompanhe o posicionamento abaixo:

“Esclarecemos que a vulnerabilidade apontada já havia sido detectada e corrigida, e permanece em processo de monitoramento. A empresa informa, ainda, que mantém uma política de segurança da informação para o cumprimento de todas as normas legais a que está sujeita, bem como controles relativos à privacidade de dados”.

O acesso aos dados foi bloqueado na última quarta-feira (dia 10) pela equipe responsável na empresa.

A falha presente no domínio da Ypê afetava uma API (interface de programação de aplicações) que poderia ser explorada por meio de uma técnica conhecida como ID Brute Force ou ID Spray. Resumidamente, algo que simples que qualquer pessoa poderia fazer: com o link correto em mãos, bastava alterar os parâmetros numéricos e sequenciais ao final do link para visualizar as informações sigilosas.

Siga o Monitor no twitter.com/sigaomonitor