Como foi a falha no CliqueRetire: veja os riscos que surgiram
Veja como foi a falha no CliqueRetire e conheça os riscos que este caso pode gerar para os usuários da ferramenta e como resolver.
Foi noticiada uma falha de segurança grave, veja como foi a falha no CliqueRetire e como isso pode afetar a vida dos usuários da ferramenta.
Uma grave falha acabou expondo os dados de aproximadamente 60 mil usuários do sistema de armários inteligentes.
Com isso golpistas podem obter acesso a informações importantes sobre pessoas de todo o Brasil.
Veja como isso pode afetar você e como se precaver de possíveis problemas causados por esta falha de segurança.
Como foi a falha no CliqueRetire: veja os riscos que surgiram
No vazamento de dados do CliqueRetire foram vazados dados como nome completo, endereço de email, telefone cadastrado, CPF e indicação de “Pessoa com Deficiência” (PCD).
Foram comprometidas cerca de 76 tabelas acessíveis no sistema da empresa que acabam por entregar dados abertos de 59.597 usuários.
Outros detalhes expostos envolvem o local e qual encomenda um cliente da empresa recebeu.
O que o CliqueRetire faz?
O CliqueRetire é uma das maiores empresas no que toca e-Boxes e é precursora na operação de redes de smart lockers no Brasil.
Resumidamente essa modalidade de empresa oferece soluções logísticas para diferentes segmentos do mercado.
Em 2022, O CliqueRetire recebeu um aporte de R$ 17 milhões da GLP, gestora de investimentos em real estate logístico, além de um dos fundos geridos pelo Itaú Asset.
Esse investimento tem o objetivo de ampliar seu plano de expansão.
O que diz o CliqueRetire
Em nota a empresa emitiu o seguinte posicionamento referente ao vazamento de dados:
“Como parte de nosso programa de segurança da informação, a empresa passa por avaliações periódicas de seus sistemas. O último processo de auditoria externa foi realizado em 12 de julho de 2023, e as recomendações foram implementadas.
Dentro da política de segurança da informação, agradecemos a qualquer apoio que nos permita aprimorar nossos sistemas. Nosso time está empenhado em avaliar os pontos levantados pela reportagem.
Reiteramos nosso compromisso com a segurança da informação e privacidade de nossos parceiros e clientes em conformidade com a LGPD e continuaremos a realizar todos os esforços necessários“.
Qual é a vulnerabilidade?
O perfil @sushicomabacate no Twitter, responsável pela descoberta, a vulnerabilidade foi descoberta por meio de reconhecimento básico com Amass, HTTPX, Nuclei e Burp Suite.
Logo no primeiro momento já foi possível encontrar um bucket S3 (com acesso público) com fotos de colabs com empresas parceiras, uma chave do TeamViewer e até dois vídeos de funcionários da empresa operando a infraestrutura.
Mas o grande problema estaria em uma API (Interface de Programação de Aplicações) sem nenhum tipo de autenticação.
Além da falta de autenticação ainda foi possível encontrar tokens válidos de comunicação com essa API.