App da Surf Telecom para ex-clientes da Intercel tem grave falha de segurança

Procedimento de autenticação permite que usuários consultem informações de qualquer outra linha ativa em operadoras virtuais parceiras. Confira o vídeo.

App da Surf Telecom para ex-clientes da Intercel tem grave falha de segurança

O Minha Operadora recebeu a denúncia de que o aplicativo da operadora virtual Mega+, da Surf Telecom, está apresentando uma grave falha de segurança.

A Mega+ foi criada recentemente para receber os clientes migrados da Intercel, após o fim da parceria entre o Banco Inter e a Surf Telecom.

Segundo relatos de vários usuários na Google Play, do sistema Android, o procedimento de autenticação por SMS do app está aceitando que o cliente digite qualquer código de segurança para ter acesso a informações da linha, mesmo que ele seja diferente do que é recebido pela mensagem de texto (vídeo abaixo).

Em testes realizados pelo usuário que fez a denúncia ao Minha Operadora, é possível facilmente acessar informações de diversos números de várias MVNOs parceiras da Surf Telecom, como Correios Celular, Maga+ (do Magazine Luiza) ou Uber Chip, por exemplo.

VEJA TAMBÉM:

–> Briga interna na Surf Telecom derrubou celulares e MP entra no caso

–> Surf Telecom entra com pedido na Justiça contra a Plintron

–> Em parceria com a Claro, Magazine Luiza pretende lançar nova MVNO

A falha é considerada grave, pois isso permite que pessoas mal intencionadas tenham acesso a informações sobre planos contratados, histórico de consumo e até informações sobre pagamentos dos usuários (como o cartão de crédito).

Os ex-clientes da Intercel temem informar o número de cartão de crédito no aplicativo, por conta da falha de segurança.

“Esse aplicativo foi feito às pressas. Lembro que quando foi feita a transição Inter -> Mega+ os SMS enviados pra gente baixar o novo app retornavam uma mensagem de ‘A URL solicitada não foi encontrada no servidor’”, diz o ex-usuário da Intercel.

O Minha Operadora tentou simular os mesmos testes, mas o aplicativo do Mega+ para o sistema Android não está disponível atualmente para download.

Entretanto, testamos outros aplicativos disponíveis da Surf Telecom e descobrimos que a mesma falha está ocorrendo no aplicativo da operadora Alô Todos, também recém credenciada pela Surf Telecom.

Reclamações de usuários sobre a falha de segurança no Mega+.

Já em outros aplicativos não há a mesma falha de segurança, como é o caso do Uber Chip, Cruzeiro Telecom e Surf Recarga, por exemplo.

No caso da App Store, para usuários de dispositivos da Apple, o aplicativo do Mega+ está disponível para download. Segundo o histórico de atualização, houve uma correção de bugs nesta terça-feira, 29 de junho.

O Minha Operadora entrou em contato com a Surf Telecom, mas até o fechamento desta matéria não recebemos retorno.

[ATUALIZAÇÃO – 30/06/2021 15h25]:

Em resposta ao Minha Operadora, a Surf Telecom emitiu a seguinte nota:

“A Surf Telecom informa que já está apurando a situação. A empresa reforça que preza pela segurança da informação de seus clientes e usuários e conta com um time capacitado para resolver qualquer falha relacionada à segurança digital. Além disso, investe constantemente em melhorias em seus serviços.”

[ATUALIZAÇÃO – 01/07/2021 16h45]:

A empresa Surf Telecom emitiu um novo comunicado afirmando que as falhas de segurança nos aplicativos de MVNOs parceiras já foram resolvidos.

“A Surf Telecom informa que após análises técnicas e uma rígida revisão em seu sistema, todas as falhas relacionadas a autenticação já foram resolvidas e os aplicativos de seus clientes operam sem anormalidades. O problema técnico aconteceu em razão da versão disponibilizada ser a Beta, de testes, ainda não definitiva. A empresa reforça que realiza atualizações constantes e em nenhum momento informações pessoais de seus usuários estiveram expostas”, diz a empresa em nota.

About Hemerson Brandão
Jornalista, gestor e produtor de conteúdo. São 8 anos trabalhando com blogs, revistas, agências e clientes corporativos. Apaixonado por ciência, tecnologia e exploração espacial.
Acompanhar esta matéria
Notificação de
1 Comentário
mais antigo
mais novo mais votado
Comentários embutidos
Exibir todos os comentários