O Tugaleaks é um órgão de comunicação social verdadeiramente independente. Não temos qualquer publicidade no site. Consulta aqui o nosso relatório de transparência mensal.

Envia a tua denúncia anónima aqui

Os cartões e o site do Continente têm uma falha que os torna inseguros, segundo avançou a equipa Team n00bz.

 

Cartões e site do Continente vulneráveis a ataque

 

Num Pastebin publicado recentemente, a equipa assegura que entrou em contacto, há mais de um mês, com o Continente. Sem resposta, decidiram publicar na Internet o que encontraram, e prometem a 26 de Fevereiro lançar uma versão do exploit pública.

No Pastebin podemos encontrar a explicação para a falha no site:

1. 1) Ataque ao Estado do Cartão
2. Ao tentar associar um cartão à conta criada anteriormente é possível saber se o cartão se encontra ativo ou não. Visto não haver limite no número de tentativas, é possível testar números ilimitados e saber se os respectivos cartões estão activos ou não.
3.
4. 2) Ataque ao Número do Documento
5. Depois de introduzido um número de cartão activo são pedidos dois dígitos do documento de identificação. Ao falhar um dos dígitos são pedidos dois dígitos diferentes. Ou não: o site não força este mecanismo de segurança, sendo possível atacar as mesmas duas posições e acertar nos dígitos num máximo de 100 tentativas (se o documento utilizado não for o passaporte, que também permite letras). Isto permite ter acesso total ao cartão, nomeadamente ao nome completo, morada, numero de documento de identificação, telemóvel, saldo atual, estados dos rebates nos cartões e total ganho com o cartão.

 

Em relação á falha do cartão, cada loja tem uma gama de numeração que é possível gerar um código de barras, quer com software ou directamente Internet, para ter um número de cartão “igual”.

A equipa tentou por duas vezes contactar o Continente sem sucesso. Caso a situação não esteja resolvida, avançam com a divulgação completa da ferramenta a 26 de Fevereiro.

 

Aceder à falha no Pastebin

Comentários

17 Comments

  1. 1 semana para corrigirem isso 😛 se não passo a fazer compras de borla (é a crise)..
    refazer o que essa malta fez é simples, umas horitas e tenho o script para explorar essas falhas

  2. O verdadeiro valor está nos dados. A lista vale muito dinheiro se tiverem o número de clientes que dizem ter.

    Quanto a usar o saldo dos cartões é para rir. Sim é possível, mas clonar o cartão de saldos, quando apenas um (verdadeiro?) tem 600 euros e só quatro acima de 90 euros e abaixo de 150… Se usassem um desses, era o ideal para serem apanhados. Sorria está a ser filmado 🙂 Data/hora pagemento data/hora nos vídeos de segurança.

    Claro que os dois contactos foram meramente altruístas e não visaram chantagem 🙂

    Bem hajam e epah nem que seja pelo rush e o script está muito clean 🙂

Responder a bemhajam Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Ver
Esconder