Sécurité

Le site web de TelexFree présente une faille fondamentale qui expose les données personnelles des éditeurs

Un problème de plus pour le côté “télex gratuit”, c’est-à-dire pour ses éditeurs, dont il faut se préoccuper : les données personnelles de nombre d’entre eux, telles que le nom, l’adresse complète et la valeur investie, peuvent être accessibles à tous sur l’internet. Et il ne faut pas beaucoup de travail pour les trouver, puisque ces informations peuvent être indexées par Google.

La découverte a été faite par Manoel Netto, de Tecnocracia, alors qu’il faisait des recherches sur les activités de l’entreprise dans le site de recherche.

Il a trouvé des projets de loi qui contiennent des données de personnes qui ont adhéré au programme sans grand effort. En effet, les paiements pour entrer dans TelexFree ont été effectués par le biais d’un boleto généré par le site web de la société, qui a créé une version en ligne du document. Le problème est que Netto a constaté que les bolets sont générés dans des URL séquentielles et qu’il n’est donc pas difficile de découvrir ou de trouver des bolets non protégés et les informations respectives des éditeurs.

  Snapchat engage des experts pour éviter de copier le code source

Les Boletos peuvent également être édités par n’importe qui. Je veux dire qu’ils n’ont absolument aucune protection. A moins que la saisie d’un captcha et la liaison du compte avec le CPF ne signifient beaucoup (ils ne signifient pas), puisque, peu avant de voir toutes les activités suspendues par la justice, la société a mis ces ressources à profit pour améliorer la sécurité.

Mais c’était à la fin. En d’autres termes, vous pouvez dire que si vous avez adhéré à TelexFree, vos données personnelles peuvent nager librement sur Google.

Le pire, c’est qu’il s’agit d’une faille très simple à corriger et qui aurait pu être évitée dès le départ si des soins de base avaient été suivis dans la mise en œuvre du système. Manoel Netto expose même certaines façons de faire dans le post, comme l’utilisation de certaines fonctions de hachage dans PHP pour la génération de boleto ou l’utilisation du paramètre no-index, qui empêche l’indexation des pages dans les moteurs de recherche.

  Que sont les cookies ? comment les effacer, les activer et les bloquer

Emerson Alecrim a collaboré

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire