Odeio replicar notícias, é algo que me irrita extremamente em certos outros blogs. Mas desta vez vai ter que ser. Sou cliente Optimus. Porque? Porque entre as três operadoras que existem, vá o Diabo e escolha.
Na semana passada, e em resposta a iniciativa da TMN dos telemóveis a seis euros, a Optimus decidiu ripostar, com a originalidade que sempre nos habituou. Telemóveis a cinco euros. Eu sei que parece sempre que estou a brincar, mas desta vez isto não é uma piada. A maioria de vocês sabe que isto aconteceu. Depois, como seria de esperar, houve uma invasão do website até ele começar a não conseguir servir os pedidos (no sentido de HTTP-Requests) que lhes iam chegando.
Isto, para quem não saiba, é uma das formas que muitas vezes é usada por hackers para expor as vulnerabilidades dos sistemas. Chamam-lhe DoS Attacks (denial-of-service). Mas desta vez não foi isso que aconteceu, a carga excessiva foi apenas resultado duma campanha publicitária da própria marca.
O que aconteceu depois foi algo de uma gravidade incrível, começou-se a ver mensagens de erro onde se liam os endereços da base de dados (MySQL, porque estas empresas não dão nada a ninguém mas usam Open-Source).
Pior, via-se o login e a chave do utilizador, sem qualquer encriptação. A comunicação de dados sensíveis (como as vossas passwords) é feita sem qualquer medida de segurança, anda simplesmente a saltar de computador em computador, na Internet.
Pior ainda, as bases de dados deles estiveram totalmente vulneráveis durante o período. Quem quisesse entrava e mudava ou obtia todas as informações lá disponíveis. Com a maior facilidade do mundo, com um ou dois fáceis comandos SQL.
A gravidade destes factos é enorme para uma empresa como a Optimus, que depende da confiança dos clientes nos seus serviços.
Fica aqui um resumo das bases de dados que eles albergam, tirado deste artigo. Já agora aconselho vivamente a sua leitura, se desejarem saber um pouco mais sobre este assunto. Se quiserem, aqui está outro sobre o mesmo assunto.
mysql> show databases;+-------------------------------+ | Database | +-------------------------------+ | afiliados | | clubexxp_forum | | clubexxp_forum_backup | | clubexxp_teste | | drsaude | | enginsite_addons | | lojaoptimusnet | | mobilegames | | mysql | | newsletters_adslnovis | | newsletters_barclaycard | | newsletters_creditopessoal | | newsletters_drsaude | | newsletters_edp5d | | newsletters_europassistance | | newsletters_exchange | | newsletters_experimentapascoa | | newsletters_ezalo | | newsletters_fiducial | | newsletters_geral | | newsletters_geralnovis | | newsletters_guardsat | | newsletters_homecare | | newsletters_myjobs | | newsletters_optimus | | newsletters_optimus_a | | newsletters_optimushome | | newsletters_optimushomerec | | newsletters_optimuspopular | | newsletters_poupardinheiro | | newsletters_readersdigest | | newsletters_saudedirect | | newsletters_saudefinance | | newsletters_tele2 | | newsletters_testes | | newsletters_unibanco | | newsletters_unibanco_classico | | newsletters_unibanco_mini | | newsletters_users | | pharmahouse | | projectos | | sites_includes | | tele2_coberturas | +-------------------------------+ 43 rows in set (0.14 sec)
Conseguem ver onde fica a vossa informação pessoal?
Estiveram disponíveis a toda a gente, com um mínimo de conhecimentos de informática, durante horas a fio.
Comments on: "Optimus em A barraca dos 5€" (9)
[…] à base de dados? Não, não cheguei a aceder mesmo, ao contrario de outros (aqui e aqui), que não sei se o fizeram com os dados que forneci, mas obviamente não iria colocar um exploid […]
incrivel essa noticia. nao tinha conhecimento algum disso. mas é incompreensivel.
é para vermos o tipo de serviços que as grandes empresas em portugal nos prestam.
abraço
[…] A base de dados andou à solta na net a 5 euros… ler histtória completa aqui e aqui […]
AHAHHA
Efectivamente, um username e uma pw eram mostradas como mensagem de erro (boa..) a todo o pessoal que tentava atingir o site “loja-optimus.info” .
Uma segurança apertada, só não conseguir ver as bd’s e outras info’s talvez possíveis, porque o servidor estava completamente “on-fire”.
Fica o desafio.. troco serviços sexuais, pelo conteudo das bd’s.
(nããã tava na tanga, mas gostava de dar uma vista de olhos)
Estás vivo PJ? :P Abraço
A sonae eh uma merda…
http://ptsec.blogspot.com/
antigo mas demonstra bem.
[…] Optimus em A barraca dos 5€ O post que me fez ficar rotulado de hacker da optimus. Ainda por cima injustamente! Ainda hoje em dia se procurar “optimus sql “o raio do google devolve o meu blog : […]
[…] estou aqui a tecer considerações sobre a empresa que fez isto. Sinto a necessidade de mudar de operadora só é pena que não haja concorrência. Vai tudo dar ao […]
a optimus trabalha muito mas muito mal, qualquer pessoa que tenha um amigo ou cunhecido a trabalhar numa loja da optimus, e que saiba o nr. tlm e dados do visinho ou dum amigo fasem e conseguem tudo e mais alguma coisa, ate pedem uma 2via do cartão e o verdadeiro titular do cartão fica na merda, sem comunicações de um dia para o outro, e no dia seguinte tem que pedir outro e pago ! é uma autentica roubalheira, e insegurança tanto nas lojas cumo no apoio ao cliente 1693, tambén cumo na factura detalhada ou resumida, não tem nenhum assunto receber a factura de 4 em 4 meses, vejam as outras redes ! clemente costa.