via G1
Uma brecha no sistema de pagamentos da Nexway, usada pela fabricante de antivírus Avast, expôs os dados dos clientes que compraram o antivírus tcheco por meio de boleto. A Nexway garantiu que, apesar do problema, não houve abuso do sistema, ou seja, os dados não foram indevidamente acessados por ninguém. A brecha foi corrigida na quarta-feira passada (31).
A Nexway fornecia os boletos por meio de um endereço web com uma terminação numérica. Cada cliente recebia um boleto com o próximo número da sequência (5, 6, 7, por exemplo). Com isso, era possível obter os boletos de outros clientes trocando o número no endereço mostrado pelo navegador. Com a correção da falha, a Nexway passou a usar uma chave aleatória para identificar o boleto, o que praticamente impossibilita a obtenção de documentos destinados a outras pessoas.
Nem todos os clientes da Avast ficaram expostos, já que a companhia também recebe pagamentos pela Digital River, que usa outro sistema. Todos os pagamentos tentados pela coluna Segurança Digital caíram no sistema da Digital River, mas a Avast confirmou que usa as duas empresas.
A brecha foi identificada pelo analista de segurança da informação David de Paula Santos no dia 13 de maio. No dia seguinte, o analista procurou a coluna Segurança Digital para intermediar o contato com a companhia de antivírus. Após tentativas de reproduzir a falha, a empresa foi procurada no dia 22.
"Como cliente, me senti impressionado, pois qualquer pessoa ao comprar o software, e com o mínimo de conhecimento de informática, poderia, ao finalizar a compra por boleto, editar os números no final da URL para simplesmente ver o que acontece e obter as informações de compras de outras pessoas, incluindo o endereço pessoal delas", afirmou o analista.
Santos teoriza que golpistas poderiam usar as informações presentes nos boletos para realizar outras fraudes. Para ele, a exposição dos dados coloca a brecha em um "nível alto".
A fabricante de antivírus disse que verifica se uma empresa "é confiável e seus serviços são seguros" antes de iniciar um trabalho com uma terceirizada. "Em casos raros, quando um problema é trazido ao nosso conhecimento, como este apresentado, nós cuidamos disso com a maior seriedade e imediatamente contatamos a empresa prestadora de serviço para resolver o problema o mais rápido possível. Neste caso, a Nexway já corrigiu a falha", afirmou a empresa, em comunicado.
Segundo a Nexway, os links para os boletos são válidos por 60 dias, o que diminui o impacto do problema. Eles também alegaram que o erro não permite a obtenção indevida de licenças do Avast e nem expõe senhas e endereços de e-mail.
A coluna Segurança Digital verificou que links gerados anteriormente continuam válidos, o que significa que uma parcela dos consumidores ainda está exposta. Por isso, a coluna não divulgará o link vulnerável.