Os cartões e o site do Continente têm uma falha que os torna inseguros, segundo avançou a equipa Team n00bz.
Num Pastebin publicado recentemente, a equipa assegura que entrou em contacto, há mais de um mês, com o Continente. Sem resposta, decidiram publicar na Internet o que encontraram, e prometem a 26 de Fevereiro lançar uma versão do exploit pública.
No Pastebin podemos encontrar a explicação para a falha no site:
1. 1) Ataque ao Estado do Cartão
2. Ao tentar associar um cartão à conta criada anteriormente é possível saber se o cartão se encontra ativo ou não. Visto não haver limite no número de tentativas, é possível testar números ilimitados e saber se os respectivos cartões estão activos ou não.
3.
4. 2) Ataque ao Número do Documento
5. Depois de introduzido um número de cartão activo são pedidos dois dígitos do documento de identificação. Ao falhar um dos dígitos são pedidos dois dígitos diferentes. Ou não: o site não força este mecanismo de segurança, sendo possível atacar as mesmas duas posições e acertar nos dígitos num máximo de 100 tentativas (se o documento utilizado não for o passaporte, que também permite letras). Isto permite ter acesso total ao cartão, nomeadamente ao nome completo, morada, numero de documento de identificação, telemóvel, saldo atual, estados dos rebates nos cartões e total ganho com o cartão.
Em relação á falha do cartão, cada loja tem uma gama de numeração que é possível gerar um código de barras, quer com software ou directamente Internet, para ter um número de cartão “igual”.
A equipa tentou por duas vezes contactar o Continente sem sucesso. Caso a situação não esteja resolvida, avançam com a divulgação completa da ferramenta a 26 de Fevereiro.
