Segurança: hacker faz compra em site com cartão do próprio CEO

Um problema no sistema de pagamentos do site de trabalho para freelancers, trampos.co, permitiu compra não autorizada utilizando cartão de terceiros. A falha foi encontrada pelo desenvolvedor Rafael Fidelis, que tentou e efetivou uma compra com os dados de Tiago Yonamine, CEO do site.

Fidelis assinou uma conta premium no portal trampos.co passando os dados de seu cartão de crédito. Ao ser encaminhado para o formulário de pagamento, ele notou que os ids da página eram sequenciais e resolveu averiguar. Trocando o valor do id para o número 1, Fidelis conseguiu efetivar o pagamento por meio de um cartão de crédito do CEO.

De acordo com o desenvolvedor, a falha permitia que que pessoas mal intencionadas efetuassem compras utilizando cartões de terceiros, gerando pedidos não autorizados pelos donos do cartão. Fidelis comunicou o resultado de sua “investigação” à Trampos e o problema foi, segundo a empresa, rapidamente solucionado.

Mas o imblóglio não terminou por aí. Após continuar investigando, ele descobriu que a falha ainda não tinha sido resolvida. O site utiliza o serviço de pagamentos pagar.me, que salva as referências dos cartões dos usuários. O desenvolvedor fez uma compra com um cartão inválido, que o pagar.me não aceitou, mas os dados foram salvos pela trampos.co, usando novamente o sistema de ids sequenciais.

Após alterar o Id para 1, Fidelis teve acesso as informações de Tiago Yonamine, CEO da trampos.co. O desenvolvedor utilizou, com sucesso, os dados de Yonamine para fazer uma nova compra.

Após relatar o ocorrido em seu blog, Fidelis recebeu um feedback da trampos.co agradecendo as informações, mas destacando que a decisão de usar um gateway foca na segurança dos usuários e que não armazena nenhuma informação de cartões de crédito que possa ser usada fora do Trampos.

CONTINUOUS TEST AUTOMATION - WHITE PAPER

Conheça uma abordagem ágil e escalável para seus projetos de automação de testes.

BAIXE O WHITE PAPER