Home > Notícias

Saraiva corrige falha que mostrava dados sigilosos dos clientes

Brecha permitia a qualquer pessoa acessar dados com nome, endereço completo e o número da nota fiscal da encomenda

Por Guilherme Felitti, repórter do IDG Now!

06/04/2006 às 18h27

Foto:

O site da livraria Saraiva corrigiu uma falha que permitia que qualquer usuário tivesse acesso a dados com nome, endereço completo e o número da nota fiscal da encomenda de clientes que efetuaram compras recentes no site.

A brecha, corrigida nesta quinta-feira (06/04), poderia ser explorada na tela de acompanhamento do pedido, alertou um leitor do IDG Now! por e-mail.

O botão "Detalhes da Postagem" levava ao usuário para uma página do parceiro Total Express, responsável pela entrega do pedido, que mostrava dados como nome, endereço completo e número da nota fiscal da encomenda.

Ao clicar com o botão direito sobre a tela, o usuário conseguia descobrir o endereço da página e alterar o número do pedido presente no link da Total Express para acessar pedidos recentes de clientes, com as informações citadas acima.

Mesmo usuários sem cadastro na Saraiva podiam acessar as informações direto do site da Total Express. O IDG Now! repetiu os passos explicados pelo usuário que descobriu a falha e comprovou o acesso aos dados sigilosos.

A partir da tarde desta quinta-feira, todos os dados presentes anteriormente foram apagados pela Total Express - ao acessar a página da sua encomenda no site do serviço de entrega, usuários encontram pedidos em branco.

Com a correção, porém, usuários não conseguem mais acompanhar o andamento de suas encomendas após o pagamento.

Segundo dados do Grupo Saraiva, o serviço de e-commerce teve faturamento de 116 milhões de reais em 2005, correspondente a 23% do total de vendas da organização no ano.

Procurada pela reportagem do IDG Now!, a Saraiva disse que não pode se pronunciar pois está em "quiet period" em razão de uma nova oferta de ações, marcada para 12 de abril.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail