Procedimento de autenticação permite que usuários consultem informações de qualquer outra linha ativa em operadoras virtuais parceiras. Confira o vídeo.
O Minha Operadora recebeu a denúncia de que o aplicativo da operadora virtual Mega+, da Surf Telecom, está apresentando uma grave falha de segurança.
A Mega+ foi criada recentemente para receber os clientes migrados da Intercel, após o fim da parceria entre o Banco Inter e a Surf Telecom.
Segundo relatos de vários usuários na Google Play, do sistema Android, o procedimento de autenticação por SMS do app está aceitando que o cliente digite qualquer código de segurança para ter acesso a informações da linha, mesmo que ele seja diferente do que é recebido pela mensagem de texto (vídeo abaixo).
Em testes realizados pelo usuário que fez a denúncia ao Minha Operadora, é possível facilmente acessar informações de diversos números de várias MVNOs parceiras da Surf Telecom, como Correios Celular, Maga+ (do Magazine Luiza) ou Uber Chip, por exemplo.
VEJA TAMBÉM:
–> Briga interna na Surf Telecom derrubou celulares e MP entra no caso
–> Surf Telecom entra com pedido na Justiça contra a Plintron
–> Em parceria com a Claro, Magazine Luiza pretende lançar nova MVNO
A falha é considerada grave, pois isso permite que pessoas mal intencionadas tenham acesso a informações sobre planos contratados, histórico de consumo e até informações sobre pagamentos dos usuários (como o cartão de crédito).
Os ex-clientes da Intercel temem informar o número de cartão de crédito no aplicativo, por conta da falha de segurança.
“Esse aplicativo foi feito às pressas. Lembro que quando foi feita a transição Inter -> Mega+ os SMS enviados pra gente baixar o novo app retornavam uma mensagem de ‘A URL solicitada não foi encontrada no servidor’”, diz o ex-usuário da Intercel.
O Minha Operadora tentou simular os mesmos testes, mas o aplicativo do Mega+ para o sistema Android não está disponível atualmente para download.
Entretanto, testamos outros aplicativos disponíveis da Surf Telecom e descobrimos que a mesma falha está ocorrendo no aplicativo da operadora Alô Todos, também recém credenciada pela Surf Telecom.
Já em outros aplicativos não há a mesma falha de segurança, como é o caso do Uber Chip, Cruzeiro Telecom e Surf Recarga, por exemplo.
No caso da App Store, para usuários de dispositivos da Apple, o aplicativo do Mega+ está disponível para download. Segundo o histórico de atualização, houve uma correção de bugs nesta terça-feira, 29 de junho.
O Minha Operadora entrou em contato com a Surf Telecom, mas até o fechamento desta matéria não recebemos retorno.
[ATUALIZAÇÃO – 30/06/2021 15h25]:
Em resposta ao Minha Operadora, a Surf Telecom emitiu a seguinte nota:
“A Surf Telecom informa que já está apurando a situação. A empresa reforça que preza pela segurança da informação de seus clientes e usuários e conta com um time capacitado para resolver qualquer falha relacionada à segurança digital. Além disso, investe constantemente em melhorias em seus serviços.”
[ATUALIZAÇÃO – 01/07/2021 16h45]:
A empresa Surf Telecom emitiu um novo comunicado afirmando que as falhas de segurança nos aplicativos de MVNOs parceiras já foram resolvidos.
“A Surf Telecom informa que após análises técnicas e uma rígida revisão em seu sistema, todas as falhas relacionadas a autenticação já foram resolvidas e os aplicativos de seus clientes operam sem anormalidades. O problema técnico aconteceu em razão da versão disponibilizada ser a Beta, de testes, ainda não definitiva. A empresa reforça que realiza atualizações constantes e em nenhum momento informações pessoais de seus usuários estiveram expostas”, diz a empresa em nota.
