nunojob:~ dscape/08$ echo The Black Sheep

Odeio replicar notícias, é algo que me irrita extremamente em certos outros blogs. Mas desta vez vai ter que ser. Sou cliente Optimus. Porque? Porque entre as três operadoras que existem, vá o Diabo e escolha.

Na semana passada, e em resposta a iniciativa da TMN dos telemóveis a seis euros, a Optimus decidiu ripostar, com a originalidade que sempre nos habituou. Telemóveis a cinco euros. Eu sei que parece sempre que estou a brincar, mas desta vez isto não é uma piada. A maioria de vocês sabe que isto aconteceu. Depois, como seria de esperar, houve uma invasão do website até ele começar a não conseguir servir os pedidos (no sentido de HTTP-Requests) que lhes iam chegando.

Isto, para quem não saiba, é uma das formas que muitas vezes é usada por hackers para expor as vulnerabilidades dos sistemas. Chamam-lhe DoS Attacks (denial-of-service). Mas desta vez não foi isso que aconteceu, a carga excessiva foi apenas resultado duma campanha publicitária da própria marca.

O que aconteceu depois foi algo de uma gravidade incrível, começou-se a ver mensagens de erro onde se liam os endereços da base de dados (MySQL, porque estas empresas não dão nada a ninguém mas usam Open-Source).

Pior, via-se o login e a chave do utilizador, sem qualquer encriptação. A comunicação de dados sensíveis (como as vossas passwords) é feita sem qualquer medida de segurança, anda simplesmente a saltar de computador em computador, na Internet.

Pior ainda, as bases de dados deles estiveram totalmente vulneráveis durante o período. Quem quisesse entrava e mudava ou obtia todas as informações lá disponíveis. Com a maior facilidade do mundo, com um ou dois fáceis comandos SQL.

A gravidade destes factos é enorme para uma empresa como a Optimus, que depende da confiança dos clientes nos seus serviços.

Fica aqui um resumo das bases de dados que eles albergam, tirado deste artigo. Já agora aconselho vivamente a sua leitura, se desejarem saber um pouco mais sobre este assunto. Se quiserem, aqui está outro sobre o mesmo assunto.

mysql> show databases;
+-------------------------------+

| Database                      |

+-------------------------------+

| afiliados                     |

| clubexxp_forum                |

| clubexxp_forum_backup         |

| clubexxp_teste                |

| drsaude                       |

| enginsite_addons              |

| lojaoptimusnet                |

| mobilegames                   |

| mysql                         |

| newsletters_adslnovis         |

| newsletters_barclaycard       |

| newsletters_creditopessoal    |

| newsletters_drsaude           |

| newsletters_edp5d             |

| newsletters_europassistance   |

| newsletters_exchange          |

| newsletters_experimentapascoa |

| newsletters_ezalo             |

| newsletters_fiducial          |

| newsletters_geral             |

| newsletters_geralnovis        |

| newsletters_guardsat          |

| newsletters_homecare          |

| newsletters_myjobs            |

| newsletters_optimus           |

| newsletters_optimus_a         |

| newsletters_optimushome       |

| newsletters_optimushomerec    |

| newsletters_optimuspopular    |

| newsletters_poupardinheiro    |

| newsletters_readersdigest     |

| newsletters_saudedirect       |

| newsletters_saudefinance      |

| newsletters_tele2             |

| newsletters_testes            |

| newsletters_unibanco          |

| newsletters_unibanco_classico |

| newsletters_unibanco_mini     |

| newsletters_users             |

| pharmahouse                   |

| projectos                     |

| sites_includes                |

| tele2_coberturas              |

+-------------------------------+

43 rows in set (0.14 sec)

Conseguem ver onde fica a vossa informação pessoal?

Estiveram disponíveis a toda a gente, com um mínimo de conhecimentos de informática, durante horas a fio.

Comments on: "Optimus em A barraca dos 5€" (9)

  1. […] à base de dados? Não, não cheguei a aceder mesmo, ao contrario de outros (aqui e aqui), que não sei se o fizeram com os dados que forneci, mas obviamente não iria colocar um exploid […]

  2. André Gomes said:

    incrivel essa noticia. nao tinha conhecimento algum disso. mas é incompreensivel.

    é para vermos o tipo de serviços que as grandes empresas em portugal nos prestam.
    abraço

  3. […] A base de dados andou à solta na net a 5 euros… ler histtória completa aqui e aqui […]

  4. AHAHHA
    Efectivamente, um username e uma pw eram mostradas como mensagem de erro (boa..) a todo o pessoal que tentava atingir o site “loja-optimus.info” .
    Uma segurança apertada, só não conseguir ver as bd’s e outras info’s talvez possíveis, porque o servidor estava completamente “on-fire”.
    Fica o desafio.. troco serviços sexuais, pelo conteudo das bd’s.
    (nããã tava na tanga, mas gostava de dar uma vista de olhos)

  5. Estás vivo PJ? :P Abraço

  6. devil on the road said:

    A sonae eh uma merda…

    http://ptsec.blogspot.com/

    antigo mas demonstra bem.

  7. […] Optimus em A barraca dos 5€ O post que me fez ficar rotulado de hacker da optimus. Ainda por cima injustamente! Ainda hoje em dia se procurar “optimus sql “o raio do google devolve o meu blog : […]

  8. […] estou aqui a tecer considerações sobre a empresa que fez isto. Sinto a necessidade de mudar de operadora só é pena que não haja concorrência. Vai tudo dar ao […]

  9. clemente s. l. costa said:

    a optimus trabalha muito mas muito mal, qualquer pessoa que tenha um amigo ou cunhecido a trabalhar numa loja da optimus, e que saiba o nr. tlm e dados do visinho ou dum amigo fasem e conseguem tudo e mais alguma coisa, ate pedem uma 2via do cartão e o verdadeiro titular do cartão fica na merda, sem comunicações de um dia para o outro, e no dia seguinte tem que pedir outro e pago ! é uma autentica roubalheira, e insegurança tanto nas lojas cumo no apoio ao cliente 1693, tambén cumo na factura detalhada ou resumida, não tem nenhum assunto receber a factura de 4 em 4 meses, vejam as outras redes ! clemente costa.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: