CÓDIGO

Falha no Trampos.co expõe CEO

10/05/2016 13:33

Rafael Fidelis encontrou uma falha no sistemas de pagamento do site de trabalho para freelancers.

Fidelis expôs falha no Trampos.co. Foto: arquivo pessoal.

Tamanho da fonte: -A+A

O desenvolvedor Rafael Fidelis encontrou uma falha no sistemas de pagamento do site de trabalho para freelancers Trampos.co que permitiu realizar um pagamento não autorizado no site usando o cartão de crédito do CEO da companhia, Tiago Yonamine.

A história é contada com detalhes técnicos e uma dose de picardia no blog de Fidelis e começa com o profissional fazendo uma assinatura de um plano premium do portal no seu cartão de crédito.

Ao ser encaminhado para o formulário de pagamento, Fidelis notou que os ids da página eram sequenciais e começou a "brincar" no browser e acabou descobrindo que os pagamentos dos demais usuários não estavam protegidos.

De acordo com o relato de Fidelis, a falha permitiria que ele efetuasse as compras novamente, gerando pedidos não autorizados pelos donos dos cartões.

"Como eu sou um desenvolvedor bacana, logo pensei: “Puta merda, o cu de alguém tá em risco por essa falha, vou ligar lá e avisar os caras”, apontou Fidelis, que pode ser um pouco brusco no linguajar dos seus posts, mas provou ter um bom coração.

Após conversar com um desenvolvedor da Trampos, Fidelis relata que o problema foi rapidamente solucionado. 

"Os desenvolvedores subiram um fix ~rapido~, daqueles pra apagar incêndio, saca? (eu sei que você sabe, ein!  hauhauhhua)", resumiu o professional, relatando uma situação totalmente desconhecida para os leitores do Baguete, que não fazem essas coisas.

(Fidelis tem um senso de humor peculiar, que o levou a criar a página Pague Meu Freela, através da qual 34 mil pessoas mandaram emails para uma agência digital pedindo que, bem, ela pagasse um freela atrasado do profissional. Funcionou).

O espírito inquisitivo do desenvolvedor, no entanto, ainda não estava saciado, e ele decidiu seguir investigando o sistema de pagamentos do portal. 

Fidelis então se deu conta que os pagamentos do Trampos eram feitos pelo serviço Pagar.me, que salva as referências dos cartões do usuários para compras futuras com um só click. Esse cartão, no entanto, era salvo e redirecionava novamente para a página do pedido.

O desenvolvedor seguiu analisando o sistema, fazendo uma compra com um cartão inválido. O Pagar.me não aceitou o pagamento, mas a página da Trampos.co salvou o cartão inválido para compras futura, usando novamente ids sequenciais.

Fidelis alterou o Id para 1. Por acaso, as informações que apareceram foram as de Tiago Yonamine, CEO da Trampos.co. O desenvolvedor acabou fazendo uma compra com esses dados.

A Trampos.co comentou o post de Fidelis, destacando que a decisão de usar um gateway foca na segurança dos usuários e que não armazena nenhuma informação de cartões de crédito que possa ser usada fora do trampos.

"Muitas pessoas nos ajudaram e ajudam em todo tipo de decisão, com sugestões, críticas e conhecimento. Esse senso de comunidade é que permite o crescimento e melhoramento da plataforma. Acreditamos que é a co-participação que nos faz progredir", disse a página, agradecendo as informações.

Fidelis respondeu o feedback da Trampos.co: “Eu acho o trampos.co uma puta plataforma maneira, continuem o trabalho e lembrem-se de criar uma politica de report de falhas de segurança, pois essa pode não ser a única...”.

Veja também

37 MILHÕES DE PERFIS
Site de traição tem contas hackeadas

O site Ashley Madison teve informações confidenciais de seus usuários vazados pelo grupo Impact Team.

FLAUTA
Intertrip, invadida por hackers?

Agência de viagens do Inter botou a culpa de post infeliz em hackers. Especialistas ouvidos pelo Baguete dizem que foi uma mancada mesmo.

DEFESA
Setor de segurança ganha associação

ASEGI quer atuar em melhores práticas, educação, e criar padrões para a indústria.

INVASÃO
Hackers roubam senhas do Exército

Comportamento de militares em competições técnica causou retaliação hacker.

SEQUESTRO VIRTUAL
Ataque bloqueia PCs de hospital até pagamento

O grupo de hackers pede US$ 3,6 milhões ao Hollywood Presbyterian Medical Center.

CARREIRA
Agility tem novo diretor de segurança

Abílio Branco já trabalhou em empresas como EBX, CIPHER, IBM, CA e Petrobras.

BANCO
Sofisa: segurança online com Datablink

O banco adotou uma combinação das soluções Datablink Device 200 e Datablink Mobile 200.

MOBILE
Oi: app de segurança com FS

O novo produto oferece três opções de pacote, com preços entre R$ 3,90 e R$ 9,90.

SEGURANÇA
Invasão a e-mail iniciou Panama Papers

Para o Mossack Fonseca, os dados foram roubados em um ataque ao servidor no ano passado.