O pesquisador de segurança Carlos Daniel Giovanella tentava rastrear a compra de uma cadeira gamer no site da TNT Express — até aqui, algo normal para a vida de qualquer consumidor online. O problema foi quando Giovanella notou algo estranho na URL do rastreamento feito pela TNT, que culminou na descoberta de 98 milhões de registros de fretes, com informações sigilosas como pontos de parada e valores envolvidos, expostos na internet.

A TNT Brasil, por meio da FedEX, confirmou a falha ao TecMundo e afirmou que investiga o caso após realizar as devidas correções. A nota, completa, pode ser lida nos próximos parágrafos.

Apple e Lenovo foram algumas das empresas que tiveram os fretes milionários expostos

“Tudo começou quando comprei uma cadeira gamer. Ao pegar o código de rastreio, entrei no site da TNT Express para verificar aonde se encontrava, e, observei que na URL estava sendo passado um ‘BASE64’ no valor de ‘OTgzNTUxNjM=’”, disse o pesquisador que atua na aCCESS Security Labs. “Isso me deixou curioso. Fui decodificar, e o valor equivalente ao base64 era 98.355.163, o que deduzi que seria o número de fretes, baseado em algum índice. Comecei a verificar a partir deste ponto: a página, à princípio, não te dá muitas informações do rastreio, então, trocar o base64 por números decrescentes, não me daria praticamente nenhuma informação”.

O pesquisador, após esse passo, resolveu verificar o código fonte da página e acabou encontrando o parâmetro “ID do Documento” (o base64 decodificado da URL). Neste local, Giovanella encontrou um função jQuery com dados ‘.json’ sobre o ID do documento.

Dados expostos

Foram expostas as seguintes informações no domínio da TNT Express:

Tipo do Frete

CPF/CNPJ do Remetente, Destinatário e Devedor

Endereço do Remetente, Destinatário e Devedor

Nome Completo do Remetente, Destinatário e Devedor

Número da Nota Fiscal

Data de Envio

Preço da mercadoria

Peso e quantia dos produtos enviados

Informações gerais da entrega (se foi entregue, rotas, pedágios, cancelamento etc)

A falha explorada pelo pesquisador é conhecida como IDOR (Insecure Direct Object Reference): ela permite que um atacante manipule o ID (número de identificação) sem sofrer qualquer tipo de autenticação para barrar essa ação. Para testar essa vulnerabilidade na TNT Express, o pesquisador programou um exploit para alterar ID’s de 98.355.163 até zero, realizando uma busca massiva pelos documentos.

“O que encontrei foram produtos caros, passando de milhões de reais várias e várias vezes, além de muitas informações confidenciais”, nota Giovanella.

Corrigimos a falha de projeto e estamos conduzindo uma investigação cuidadosa

Empresas afetadas: são diversas as empresas afetadas, visto que a TNT Express realiza entregas para um número massivo de companhias. Entre as checadas pela reportagem, estão: Apple, Lenovo, Kabum, Grendene, VM Textil e Catri.

O TecMundo buscou um contato com a TNT Express. Hoje, a empresa é gerida pela FedEx, que nos enviou o seguinte posicionamento sobre o caso:

“Confirmamos que foi identificada uma falha de projeto que pode ter permitido o acesso não autorizado a informações sobre remessas domésticas feitas na rede TNT no Brasil. Corrigimos a falha de projeto e estamos conduzindo uma investigação cuidadosa. A FedEx e a TNT levam a segurança da informação muito a sério e tomaremos as medidas apropriadas com base nas conclusões de nossa investigação. Ressaltamos que os sistemas que suportam remessas domésticas e internacionais da FedEx Express não foram afetados”.

Dados expostos

Dados expostos

Parte dos registros expostos mostram os fretes realizados pela TNT Express a partir de pedidos feitos entre Apple e Foxconn (empresa responsável por montar iPhones).

Um dos registros traz como “Valor do Frete” a quantia de R$ 4.568.283,00 e, além de detalhes como CNPJ e outros dados, indica que o pedido foi feito em Jundiaí, interior de São Paulo. A cidade abriga uma das fábricas da Foxconn. Outro frete encontrado, feito pela Lenovo, passou do R$ 1,6 milhão.

Os dados confidenciais revelam valores de fretes e trajetos de caminhões. Isso significa que, nas mãos erradas, as informações podem servir de base para uma possível ação criminosa.

Nas mãos erradas, as informações podem servir de base para uma possível ação criminosa

Pior: dados de destinatários, como CPF e endereço, também são expostos. Com isso, cibercriminosos podem usar essas informações para preparar golpes de phishing se passando por essas empresas. Por exemplo, como no caso do pesquisador Giovanella, cibercriminosos poderiam usar suas informações para enviar golpes de phishing via email e enganar o pesquisador apresentando seus dados pessoais.

Caso você não saiba, phishing é um dos métodos de ataque mais antigos, já que "metade do trabalho" é enganar o usuário de computador ou smartphone. Como uma "pescaria", o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.

Dados expostos

Como denunciar ao TecMundo