O Clube Smiles, programa de pontos da Gol, promoveu em 2018 algumas mudanças bastante positivas para os consumidores, que inclui a possibilidade de trocar milhas por viagens de Uber, e também o resgate do saldo de pontos por produtos e serviços da Claro. Mas uma falha que veio a tona hoje mostrou que o sistema do serviço estava comprometido de forma bastante grave.

Conforme relatou o Tecmundo, uma falha em como a empresa cadastrava as senhas dos usuários permitia que com bastante facilidade alguma pessoa com algum conhecimento de ataques de força bruta fosse capaz de tomar o acesso de contas, que trazem dados como viagens, extratos de pagamentos, histórico, voos seguintes, impressão de cartão, e outros.

Se você usa o programa de pontos, deve saber que as senhas são extremamente simples, de apenas quatro dígitos e todos eles numéricos. Ou seja, há uma faixa muito curta de possibilidades entre 0000 e 9999. No geral, um sistema bloqueia o acesso de uma máquina após muitas tentativas seguidas, mas o do Smiles apenas o fazia após 500 delas.

Ou seja, com um software específico era possível "atirar" até 500 requisições por IP até os servidores. Com isso, 20 IPs bastavam para que uma senha válida fosse descoberta.

Apesar de trabalhar com capchas no painel de login, esse recurso estava implementado apenas no site e nos aplicativos. Quando o programa de força bruta era utilizado ele se comunicava diretamente através da API, onde a camada de segurança não estava implementada.

Resumindo, em 15 ou 30 minutos era possível tomar o acesso de qualquer conta. O portal que trouxe o caso a tona comprovou, entregando ao pesquisador Carlos Daniel Giovanella - que descobriu a falha - uma conta sem senha, ele foi capaz de tomar o acesso em pouco tempo.

Se você teme pela segurança do seu cadastro, a boa notícia é que o problema já foi resolvido.

Por questões de segurança - visando não expor os participantes do clube de milhagem - a brecha foi entregue primeiramente à própria companhia, isso ainda em agosto desse ano. Foi solicitado então um prazo de dois meses para a melhoria do sistema, que já foi providenciada.

Agora, após três tentativas inválidas de login por qualquer meio de acesso a conta do usuário ficará bloqueada, sendo necessário efetuar procedimentos de verificação via e-mail, por exemplo. Segundo a empresa, essa é uma medida de segurança que deverá colocar um fim nesse problema e em eventuais explorações via método de força bruta.

No fim das contas, não custa nada mudar sua senha para garantir que suas credenciais não correspondem mais àquelas que um dia puderam ser exploradas.

E você, o que achou desse problema e como a empresa lidou com ele? Participa do Clube Smiles? Conte para a gente nos comentários!