Os cartões e o site do Continente têm uma falha que os torna inseguros, segundo avançou a equipa Team n00bz.
Num Pastebin publicado recentemente, a equipa assegura que entrou em contacto, há mais de um mês, com o Continente. Sem resposta, decidiram publicar na Internet o que encontraram, e prometem a 26 de Fevereiro lançar uma versão do exploit pública.
No Pastebin podemos encontrar a explicação para a falha no site:
1. 1) Ataque ao Estado do Cartão
2. Ao tentar associar um cartão à conta criada anteriormente é possível saber se o cartão se encontra ativo ou não. Visto não haver limite no número de tentativas, é possível testar números ilimitados e saber se os respectivos cartões estão activos ou não.
3.
4. 2) Ataque ao Número do Documento
5. Depois de introduzido um número de cartão activo são pedidos dois dígitos do documento de identificação. Ao falhar um dos dígitos são pedidos dois dígitos diferentes. Ou não: o site não força este mecanismo de segurança, sendo possível atacar as mesmas duas posições e acertar nos dígitos num máximo de 100 tentativas (se o documento utilizado não for o passaporte, que também permite letras). Isto permite ter acesso total ao cartão, nomeadamente ao nome completo, morada, numero de documento de identificação, telemóvel, saldo atual, estados dos rebates nos cartões e total ganho com o cartão.
Em relação á falha do cartão, cada loja tem uma gama de numeração que é possível gerar um código de barras, quer com software ou directamente Internet, para ter um número de cartão “igual”.
A equipa tentou por duas vezes contactar o Continente sem sucesso. Caso a situação não esteja resolvida, avançam com a divulgação completa da ferramenta a 26 de Fevereiro.
Entretanto o site ficou misteriosamente em manutenção…..
Não estou a ver que responsabilidade é esta…
1 semana para corrigirem isso 😛 se não passo a fazer compras de borla (é a crise)..
refazer o que essa malta fez é simples, umas horitas e tenho o script para explorar essas falhas
mais um belo exemplo das implementações feitas em portugal, e não é caso único os cartões da BP são outros…
É obvio que as datas das releases são falsas…. se procurarem na net existem inumeras pessoas a queixarem-se que o cartão delas foi “esvaziado”.
http://descontos.blogs.sapo.pt/321068.html
http://poupancasecompanhia.blogs.sapo.pt/85412.html
http://numerosessenta.blogspot.pt/2012/06/erros-com-o-cartao-continente.html
viva ao bacalhau.!!
Muito bem! O trabalho e dedicação à pesquisa. Parabéns.
hum… será que também aumentaram o saldo aos cartões deles?
Site novamente disponível, portanto falha detectada já deve de ter sido corrigida:
https://www.cartaocontinente.pt
O verdadeiro valor está nos dados. A lista vale muito dinheiro se tiverem o número de clientes que dizem ter.
Quanto a usar o saldo dos cartões é para rir. Sim é possível, mas clonar o cartão de saldos, quando apenas um (verdadeiro?) tem 600 euros e só quatro acima de 90 euros e abaixo de 150… Se usassem um desses, era o ideal para serem apanhados. Sorria está a ser filmado 🙂 Data/hora pagemento data/hora nos vídeos de segurança.
Claro que os dois contactos foram meramente altruístas e não visaram chantagem 🙂
Bem hajam e epah nem que seja pelo rush e o script está muito clean 🙂
Mais um website profissional 🙂
OS MEUS PARABÉNS AO(S) HACKER(S) BACK HAT OU DEVEREI EU DIZER WHITE HAT……..
X_0
Novo link no pastebin após o original ter sido removido: http://pastebin.com/EccKfSwa