2018/11/27

Smark.io expõe dados privados de clientes das suas campanhas

Milhares de clientes de empresas como a Rádio Popular, VW, e outras, têm os seus dados privados expostos publicamente na web, por via de uma empresa de marketing - a Smark.io - que utiliza endereços URL codificados mas acessíveis a todos.

Actualização: a situação já foi rectificada, ver informação adicional no final.

Se já receberam algum SMS publicitário contendo um endereço "smrk.io", é bem provável que alguns dos vossos dados estejam acessíveis a sistemas de scrapping de dados que estejam a correr na web. A ideia deste serviço fornecido pela Smrk.io é engraçada, permitindo que um cliente clique num link e seja direccionado para uma página com dados pré-preenchidos para lhe facilitar a vida. O problema, é que manipulando-se o URL ganhamos acesso a informação direccionada para outras pessoas, e até de outras campanhas de outras empresas.

Por exemplo, há endereços que dão acesso a campanhas da VW, que revelam a matrícula do veículo, nome do dono e a oficina onde fazem habitualmente as manutenções; outras dão acesso a campanhas da Rádio Popular, onde vão sendo revelados números de telefone de clientes; e ainda outras referentes a campanhas de empresas de seguros - e isto numa pesquisa nada exaustiva, apenas fazendo variar algumas letras no URL.


É uma situação complicada, provavelmente ilegal sob as novas regras de protecção de dados, e que acontece devido à utilização de endereços sequenciais facilmente manipuláveis. Uma forma de evitar isto consistiria na utilização de endereços URL bastante mais longos, não sequenciais, mas isso faria com que não fossem tão adequados para campanhas via SMS, onde o tamanho dos links tem importância crítica. De outro modo, ficarão limitados a direccionar os potenciais clientes para formulários de contacto sem dados pessoais pré-preenchidos, o que também irá remover uma das grandes "vantagens" do serviço que fornecem.

... Seja como for, manter dados pessoais publicamente acessíveis, isso é que não pode ser.


Actualização: A Smarkio já fez as devidas correcções e enviou-nos o seguinte comunicado:

Alertados para uma possível exposição excessiva de informação, atuámos de imediato na identificação do problema e implementámos em menos de 3h uma série de procedimentos que permitiram não só a resolução das situações identificadas como também impossibilitaram que situações semelhantes pudessem voltar a acontecer:
- Fechámos todos os chatbots e páginas que expunham essa informação em 1h
- Implementámos um mecanismo de segurança no serviço de geração de short links
- Passámos a expirar os short links antigos passados alguns dias
- Protegemos o serviço de short links contra ataques por brute force

Verificou–se igualmente que:
- os problemas descritos não se aplicavam a mais nenhum cliente ou campanha, estando por isso confinados aos casos identificados,
- não tínhamos sido alvo de nenhum ataque exterior.

Prezámos valores como a confidencialidade e proteção de dados, implementando diariamente normas que reforçam esta postura, e estamos empenhados em evangelizar esses mesmos valores junto dos nossos clientes.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]