K-Max fala sobre problemas da Telefônica

SÃO PAULO – Após ser indiciado pela polícia na última quinta-feira por crime de divulgação de segredo qualificado, o programador Vinicius Camacho fala sobre a vulnerabilidade da Telefônica.

O jovem de 28 anos, conhecido como K-Max, foi acusado de disponibilizar as informações de diversos clientes da empresa na rede, segundo informações da assessoria de imprensa do Deic.

Em nota oficial, a Telefônica apenas disse que “denunciou o crime à polícia e prestou as informações necessárias às autoridades”.

Segundo o Deic, o programador admitiu ter publicado os dados pessoais dos usuários em uma página na internet. Se for considerado culpado, ele pode se condenado a quatro anos de prisão e pagamento de multa.

Procurado pela redação de INFO Online, Camacho falou sobre a técnica utilizada para conseguir os dados e o tipo de vulnerabilidade presente no site da empresa.

INFO Online - Quando você descobriu o problema de segurança da Telefônica? Passou muito tempo estudando a falha?

K-Max - Foi em junho, não lembro exatamente o dia. Levei apenas alguns minutos que foram o suficiente para perceber a gravidade da falha e qual tipo de acesso era possível através dela.

INFO Online - Você pode detalhar a vulnerabilidade encontrada?

K-Max - Sim. O site estava vulnerável à SQL Injection, falha que permite que alguém possa ganhar acesso total ao banco de dados, usando nada além do que o próprio navegador. A vulnerabilidade não existia apenas em um único ponto da página, mas em várias outras partes.

É bom citar que havia fortes indícios de que o problema existia há, pelo menos, 3 anos. Já que o “header http Last-Modified” informava a data em que os arquivos do site foram modificados pela última vez, em 2006.

Isso me faz crer que aquele subsite passou 3 anos abandonado.

INFO Online - E você teve que desenvolver alguma ferramenta para ganhar o acesso?

K-Max - Para notar a vulnerabilidade, não usei nada além do que um navegador. Mas criei um pequeno script PHP pra conseguir criar a prova de conceito que mostrava que os dados de mais de um milhão de clientes Speedy estavam expostos para o mundo.

• Vamos deixar algo BEM CLARO... K-Max é o "HEROÍ" de qualquer maneira, para quem achou uma falha no banco de dados da propria telefonica, imagina a situação do SPEEDY, desde da queda do DNS da telefonica até essa falha que o K-MAX descobriu, A telefonica éum lixo mundial, A ANATEL Só não bani essa podridão do Brasil pq eles tem rabo preso... JAMAIS a telefonica vai melhorar a favor dos clientes... E sim quanto mais pior, melhor para nós e eles fazendo piadinha sobre nós. Enfim, do meus parabéns ao K-MAX, ele é guerreiro!!!!
  enviado por: Jefferson Rodrigo Areias da Silva em 26/08/2009 - 17:08
• Esse é o BRASIL... TELEFONICA, vá cuidar dos seus serviços prestados... pois esta claro que vocês são a escória do Brasil em relação a SERVIÇOS EM TELECOM. O BRASIL quer explicações TELEFONICA... explique, como você é capaz de cobrar tão alto e oferecer serviços tão péssimos? O BRASIL QUER SABER... Se algo acontece a esse programador... teremos que iniciar um movimento chamado "FORA TELEFONICA" pois realmente não está mais dando pra suportar essa empresa fazendo o que quer com o povo BRASILEIRO. Os políticos deviam se envolver... VOTAMOS EM VOCÊS, NOS AJUDEM. Sinceramente? o Brasil está uma piada... em breve estarei me mudando pro exterior, aqui no BRASIL não é possível viver... são muitos os abusos!
  enviado por: Filipe F B em 23/08/2009 - 15:05
• O quê!!!Processar o K-Max por um simples decuido de uma empresa multinacional como Telefônica, que tem produtos Top de linha, que respeita o consumidor, uma empresa fidelissíma e competente...Ora que hipocrisia toda essa gente que culpa um programador que teve a coragem de expor a público a vunerabilidade dessa empresa medíocre de fundo de quintal..Vcs devem processar a Telecômica por vender produtos de péssima qualidade, sucateados, duvidosos e por roubar seus clientes. K-Max apóio a sua iniciativa e de todos os hackers,tem mesmo que desmascarar esse tipo de empresa e acho pouco!!!Achei ótimo a invasão do site da Record e ainda o recado que deixaram p/ Telecômica, foi hilário!!!!
  enviado por: Fábio T.Rodrigues em 22/08/2009 - 22:06
• Alguns internautos estão analisando o problema como alguem que invadiu e expos...Não podemos nunca nos esquecer que estamos falando daquela Empresa que é lider absoluta no PROCON, que atende mau deus clientes, que foi proibida por semanas de comercializar aquela porcaria de Speedy, então, o que KMAX fez está certíssimo !!
  enviado por: Eduardo de Andrade Galbes em 22/08/2009 - 13:59
• Erraram os dois... a telefonica pq ja mostrou ser uma empresa que trata seus clientes feito bos** e esse rapaz, mesmo tendo um atitude respeitavel ou não, desrespeitou a privacidade de certas pessoas e isso é crime. crime é crime. se perdoam um, daqui a pouco vao ter que perdoar o outro.
  enviado por: Arthur de Oliveira Cavalcante em 22/08/2009 - 10:35
• Rediculo, uma falha destas é amador suficiente para Telefônica se matar! Como uma empresa com os recursos financeiros e politicos como a Telefônica tem um sistema tão amador a ponto da pessoa que desenvolveu não ter noção alguma de segurança? E o gerente de sistemas? Pelo amor! com o sálario desses caras isso era a última coisa a poder acontecer. Apoio o Vinicius, coerente e corajoso, afinal ele poderia ter explorado mais a falha, ter obtido dados mais especificos e revendido para redes underground de crime. Telêfonica incompetência é sua marca registrada.
  enviado por: Jonas Felipe Martinez Rodrigues em 22/08/2009 - 10:08
• Temos q/expulsar a telefonica do brasil este sim foi um RAPAZ de coragem deu sua cara a tapa p/denunciar a falha desta empresa ladrona mas infelismente pode pagar alto por esta denuncia sbe pq é peixe pequeno se fosse tubarão ñ pagaria de uma olha naqle SENADO palco de mais um showzinho em BRASILA q/vergonha agora vão prender o rapaz pq ele só fez a denuncia SENHOR Presidente da telefonica são palavras q/o senhor as engolas e as digiras como julgar conveniente temos q/repudiar esta empresa todos aqui estão de parabéns por seus comentarios parabéns p/o Ministro Helio Costa e Anatel pelo bloqueio da venda do speedy.
  enviado por: flavio dos santos silva em 21/08/2009 - 23:06
• O mais o humilhante pra nós consumidores, é que essas empresas derespeitam o código do consumidor, vc nunca é atendido dentro das regras que anunciam em ordem nacional, não tem o mínimo cuidado com nossos dados. e quem é preço e aquele denuncia isso, estamos a um passo de um feudo, onde o rei manda e desmanda e nós os burros obedecemos - merecia ate um ato em pró desse profissional que nos alertou isso. esse país é uma vergonha - hora de votar certo -
  enviado por: jean ricardo passos em 21/08/2009 - 20:04
• Sou assinante Speedy (fazer o quê). Pra mim é o cúmulo ter meus dados, RG, CPF, conta bancária (débito automático) disponíveis. Quem errou foi a Telefônica e não Kmax.
  enviado por: Marcos Vinícius Garcia do Nascimento em 21/08/2009 - 15:36
• Se tudo foi conforme Kmax disse na reportagem, voto pela liberdade dele.
  enviado por: Marcos Vinícius Garcia do Nascimento em 21/08/2009 - 15:32
• Acho que algum cliente da telefônica pode até processá-la por ter deixado os dados disponíveis dessa maneira!
  enviado por: Marco Antonio da Silva Lima em 21/08/2009 - 15:12
• @José Manuel da Silva O cara vai lá e pega por exemplo: Metade do meu CPF! Pode pegar à vontade! É só metade. Será bem mais fácil encontrar no Google. Esses dias a telefônica pediu os dados da minha mãe para contratar um novo plano. Disse: "aguarde um minuto", abri o Google e consegui os dados e uns 30 segundos, lol. Anyway, foram só metades dos dados!
  enviado por: Gabriel Rezende Camargo em 21/08/2009 - 15:08
• Independente dos motivos, houve roubo de dados e ao saber da falha o Vinícius não contatou nem a empresa, nem autoridades (que poderiam preservar sua identidade junto a Telefonica) como a Delegacia de Delitos Cometidos por meios Eletrônicos – DIG/DEIC portanto, vai sim e justamente responder por isso.
  enviado por: José Manuel da Silva em 21/08/2009 - 14:12
• É engraçado, a telefônica comete crimes piores com milhares de clientes todo dia. Quando alguém faz algo ridiculo. Eles vem com mimimis. Avisar a telefônica? Como? Eles demoram 2 anos para responder email, isso quando você escreve no formulário e não dá algum erro. Ligar a avisar de uma falha? Os caras lá não sabem nem o que é Linux, vão saber muito o que é SQL. Essa foi boa!
  enviado por: Gabriel Rezende Camargo em 21/08/2009 - 14:08
• Um fato que em outros países poderia fazer o cara ser condecorado pela empresa que tem a falha, no Brasil vira caso de polícia. E ainda de uma empresinha como a Telefonica, que, pelo que ouço falar em comentários aqui na Info e em outros lugares, é uma péssima empresa, do mesmo naipe ou pior que a Brasil Telecom. Isto é uma vergonha!
  enviado por: Marcelo Bonatto em 21/08/2009 - 12:42
• O K-Max vacilou, era pra ter mantido isso como um ato secreto (risos). Eu não entendi a repercussão de tudo isso, só navegar cinco minutos na internet e você consegue encontrar falhas nas páginas web. E ele fez o correto, publicar a falha na internet... ou deveria ligar pra "central de relacionamento da telefônica"(10315)??? (+ risos). Realmente este rapaz está de parabéns e tentou salvar nossos dados. Mas já publicado a falha, alguma outra pessoa com má intenção poderia ter publicado os dados. Na minha opinião, quem sempre vacilou foi a Telefônica e que toma atitudes somente quando a bomba explode.
  enviado por: Herbert Xavier Menezes em 21/08/2009 - 12:35
• Alguém aqui já teve a infeliz experiência de ligar pra telefônica? Eu tentei UMA vez pra saber mais informações e virar cliente e foi o pior atendimento que já tive na minha vida. Imagine se ele tivesse que explicar a falha na segurança? Nunca teriam feito nada!!! Aposto que nem número de protocolo ele ia conseguir, e mesmo que tivessem passado não seria verdadeiro. Concordo com ele que a ÚNICA forma de fazer a telefônica corrigir o problema era criando um site público. Falar com a telefônica daria o mesmo resultado que se ele tivesse sussurrado pra ninguém! A gente precisa é de um exercito de Kmax pra tentar fazer com que os clientes sejam respeitados nesse país. Se tivesse o conhecimento e a posição dele teria feito o mesmo.
  enviado por: Bruno Ferreira Porto em 21/08/2009 - 12:18
• Ok K-max, não sei exatamente sua intenção... mas a ideia de mostrar as falhas de uma multinacional para o mundo é muito boa.. pena que voce foi localizado... quem sabe na proxima voce não resolve primeiro a questao com o governo, tira alguns deputados da lista de pagamentos... seria algo de utilidade publica imagine os jornais... heroi brasileiro...Morto misteriosamente.. a policia não tem suspeitos rssss Peixe grande no brasil é tubarão take care !!
  enviado por: jonathan ribeiro lima em 21/08/2009 - 12:10

comentar