Falha na CliqueRetire expôs 60 mil usuários
8 de Agosto de 2023

Uma falha de segurança na empresa de armários inteligentes CliqueRetire deixou os dados pessoais de cerca de 60 mil clientes expostos.

Detalhes sensíveis como nome completo, endereço de email, telefone registrado, CPF e identificação de "Pessoas com Deficiência" (PCD) estavam acessíveis por um período indefinido.

Segundo uma investigação cibernética realizada pelo perfil @sushicomabacate no Twitter, especialista em segurança cibernética, 76 tabelas com dados abertos de 59.597 usuários eram acessíveis no sistema da empresa.

Outros detalhes revelados incluem o local e qual entrega um cliente da empresa recebeu.

A CliqueRetire é uma das maiores empresas em e-Boxes, sendo pioneira na operação de redes de "smart lockers" no Brasil, que oferece soluções logísticas para diversos segmentos de mercado.

Em 2021, recebeu investimento de R$ 32 milhões em uma rodada liderada pela São Carlos Empreendimentos e Participações.

Em 2022, a empresa recebeu um investimento adicional de R$ 17 milhões da GLP, uma gestora de investimentos em logística imobiliária, além de um dos fundos administrados pelo Itaú Asset, para impulsionar seu plano de expansão.

O TecMundo entrou em contato com a CliqueRetire pelo site oficial no final de julho de 2023.

Na última sexta-feira (04), recebeu a seguinte resposta: "Como parte de nosso programa de segurança da informação, a empresa passa por avaliações periódicas de seus sistemas.

O último processo de auditoria externa foi realizado em 12 de julho de 2023, e todas as recomendações foram implementadas.

Agradecemos por qualquer contribuição que possa nos ajudar a aprimorar nossos sistemas.

Nossa equipe está comprometida em avaliar os pontos levantados pelo relatório.

Reafirmamos nosso compromisso com a segurança da informação e privacidade de nossos parceiros e clientes de acordo com a LGPD e continuaremos a fazer todos os esforços necessários".

A vulnerabilidade foi enviada ao TecMundo pelo perfil @sushicomabacate no Twitter e foi descoberta por meio de reconhecimento básico com as ferramentas Amass, HTTPX, Nuclei e Burp Suite.

Durante apenas a exploração inicial, o perfil encontrou um bucket S3 (com acesso público) com fotos de colaboradores com empresas parceiras, uma chave do TeamViewer e até dois vídeos de funcionários da empresa operando a infraestrutura.

O grande problema estaria em uma API (Interface de Programação de Aplicações) sem autenticação.

Além disso, foi possível encontrar tokens válidos de comunicação com esta API.

Além disso, foram encontrados outros problemas, como facilidade de acesso aos endpoints, Personal Access Token do GitHub armazenado em texto simples e até chaves AWS.

Apenas esses pontos permitiram ao pesquisador ter um aumento de privilégios, o que garantiu acesso total à infraestrutura do aplicativo.

O objetivo da invasão não era prejudicar a empresa e a vulnerabilidade ainda não foi corrigida.

Para proteger os dados dos clientes da empresa, o pesquisador preferiu esconder algumas informações que permitissem a exploração imediata dessas vulnerabilidades.

"Ainda estou aguardando uma resposta da empresa por email (...) A denúncia por violação da LGPD ainda é uma possibilidade", escreveu o pesquisador.

Perceber os possíveis impactos de um vazamento de dados na vida do cidadão não é uma tarefa fácil.

Normalmente, vazamentos atualizam as bases de dados de criminosos cibernéticos e tornam os golpes mais precisos.

Phishing direcionado e abertura de contas fantasmas são apenas alguns dos muitos tipos de esquemas criminosos que envolvem dados vazados.

Um exemplo comum e fácil de executar é o phishing - uma mensagem falsa enviada a uma pessoa na tentativa de obter informações sensíveis, assinaturas ou infecção pelo vírus.

No caso da CliqueRetire, os clientes precisarão ter atenção redobrada com emails relacionados aos serviços da empresa, já que essas informações vazadas podem permitir a criminosos elaborar mensagens mais precisas em um ataque.

Finalmente, usar um antivírus na máquina é sempre uma boa ideia.

Hoje, a maioria das soluções disponíveis no mercado oferecem diversas formas de proteção para o uso diário.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...