Virgin Mobile de Porta Aberta aos Hackers

A segurança é um tema que temos abordado recorrentemente, com múltiplos e frequentes ataques a sites que capturam os dados de milhões e milhões dos seus clientes; mas que se estendem também a roubos de automóveis; e até aos dados de participantes em reality shows da TV nacional (embora neste caso ainda esteja por determinar se terá sido um ataque de hackers, ou uma difusão intencional e deliberada para causar o "buzz" em torno do programa).

Mas... certamente que um site de um operador de telecomunicações será outro assunto, certo?

Infelizmente, no caso da Virgin Mobile parece que não.

No site deste operador, cada utilizador (ou atacante) poderá fazer o login usando apenas o seu número de telefone e uma password numérica de 6 algarismos. Quer isto dizer que apenas há 1 milhão de passwords possíveis... e que podem ser facilmente e rapidamente experimentadas, uma a uma, até encontrar a que funciona - já que o site não implementa nenhum sistema de bloqueio após "x" tentativas erradas; ou até tão somente a limitação da velocidade com que as tentativas podem ser feitas (por exemplo; esperar 1 minuto após 3 tentativas erradas).

Depois de se conseguir o login, um atacante tem um "arsenal" de opções à sua disposição que se podem revelar num pesadelo para o utilizador real; pois para além de poder ler e enviar SMS em seu nome, ver os registos das chamadas recebidas e efectuadas, ou até alterarem o código PIN deixando o cliente legítimo sem acesso à conta; podem até comprar um novo telemóvel usando o cartão de crédito associado à conta.


A pergunta que se coloca é: como é possível que, por esta altura, empresas desta dimensão ainda cometam erros tão básicos de segurança?