PplWare Mobile

ALERTA: Cartões e site do Continente vulneráveis…


Pedro Pinto é Administrador do site. É licenciado em Engenharia Informática pelo Instituto Politécnico da Guarda (IPG) e obteve o grau de Mestre em Computação Móvel pela mesma Instituição. É administrador de sistemas no Centro de Informática do IPG, docente na área da tecnologia e responsável pela Academia Cisco do IPG.

Destaques PPLWARE

  1. Sergio says:

    hackers moralistas?!?

    • carlos says:

      só os que conhecem os hackers através dos media e/ou filmes não sabem que “hackers moralistas” também existem e quase que em maioria.

      • Afonso Tech says:

        Existem 3 tipos de hackers (até já a mais):
        – Os hackers White hat: os que hackam pelo bem, (os moralistas no caso).
        – Os hackers Grey hat: os que hackam por diversão, nem para o bem nem para o mal.
        – e Os hackers black hat: que são os que hackam para o mal, também podem ser designados crackers.
        A imagem que a mídia nos passa é que todos os hackers são chapéu preto, maldosos ou crackers.

        • Diogo R. says:

          who cares, la quero saber como se chamam lol

          para mim só há 2 tipos, os que hackeiam para se divertir e os que hackeiam porque nao têm mais nada que fazer a vida e gostam de lixar a dos outros.

          • Kaixas says:

            Mas o pior tipo é precisamente esse que excluis: os que hackeiam para maldade (roubar cartões de crédito, passwords, documentos importantes, etc).

          • sergio says:

            a tua afirmação faz de ti um ignorante na matéria

          • Miguel Cristo says:

            Os hackers são hackers porque são curiosos, porque gostam de mostrar as suas capacidades, enquanto há pessoas que gostam de mostrar as suas capacidades deitando abaixo os outros e dizendo mal como tu, um representante do que vai mal neste país, isso que tu dizes é tudo relativo, deixa-te de histórias da carochinha que já não convencem ninguém.

          • Pedro says:

            aiaiai Diogo…

          • luis santos says:

            o facto de nem saberes escrever, explica as imbecilidades que escreves. aposto que não tens mais de 12 anos

        • João M. says:

          Muito bem explicado…(claps)
          O saber não faz mal a ninguém, e os White Hats são uma mais valia para todos os utilizadores da sociedade actual.

          Um pouco mais de respeito…

        • Rui Costa says:

          Vou tentar traduzir o comentário acima:

          Existem 3 tipos de ladrões (até já há mais):
          – Os ladrões de chapéu branco, os que assaltam pelo bem (os moralistas);
          – Os ladrões de chapéu cinzento, os que roubam por diversão, nem para o bem nem para o mal.
          – e os ladrões de chapéu preto que são os que roubam para o mal, também podem ser designados por ladrões de pé-de-cabra.

          A imagem que a mídia nos passa é que todos os ladrões usam chapéu preto são maldosos ou arrombam portas com pé-de-cabra.

      • bemhajam says:

        Sim… Os contactos visarem o puro altruísmo ditado pelo moralismo e não tentativa de chantagem. Daí terem sido ignorados.

    • pixar says:

      Em qualquer grupo de pessoas existem pessoas boas, más e assim assim.
      Médicos, existem emprenhados, desleixados e FDP.
      Professores, igual.
      Porque os hackers haviam de ser diferente? Alguns dedicam-se a descobrir vulnerabilidades para as comunicar às entidades que as podem corrigir, apenas por prazer. Outros, um pouco mais espertos, fazem o mesmo, mas a troco de dinheiro – digamos que são prestadores de serviços. Outros há que o fazem com o único objecto de extorquir dinheiro às suas vítimas.
      Há de tudo, como na farmácia!

    • Rui Silva says:

      Sergio, faça um favor a todos nós! Consulte a verdadeira definição de Hacker. E depois faça (ou refaça) a pergunta novamente!

      Happy Easter

  2. Carlos says:

    Muito grave este grupo nem ouvir quem os quer ajudar…

  3. Já estou a ver o próximo anúncio do Pingo Doce “Sem ataques a cartões, nem complicações..”

  4. João Reis says:

    Bom trabalho, serviço publico.

  5. boa essa: “Sem ataques a cartões, nem complicações..”

  6. Tiago Antunes says:

    Eu já tinha visto o esquema, mas dai a publicarem o seu funcionamento num site que aspirantes a informáticos é como quem diz a alguém, está aqui ouro num cofre e para o abrires só tens de fazer isto.

    Notícia poderia ter outra forma de ser apresentada sem motivar ao “roubo”.

    • Essa foi engraçada, um site a aspirantes a informáticos, se formos a ver bem, talvez seja mais os informáticos que os aspirantes. Anyway, é um blog informativo, logo informaram e bem.

      Se a notícia estivesse incompleta queixavam-se, como está completa queixam-se na mesma. Em todo caso não me parece que as pessoas que lerem esta notícia vão tentar alguma coisa, até porque os serviços estão já em baixo..

    • Mike Litoris says:

      Se achas que foi divulgada informação a mais, tenta tu, fazer o mesmo ataque ao Continente.

    • abaptista says:

      Meu caro amigo, a informação disponibilizada é só uma pequena franja do que é necessário para lá chegar. O source code que ainda não foi divulgado é que é o elemento fundamental para o ataque e só será divulgado se a entidade responsável pela manutenção e gestão de cartões não efectuar as devidas correcções.
      O que é dito neste sitio (sites), é o caminho normal. Apesar de serem revelas outras fragilidades que normalmente não estão presentes em sítios( sites) os quais, “por norma”, até costumam ser explorados para a procura de erros.
      Aqui é logo no registo!!!

      Os aspirantes a informáticos, tal como você refere vão continua-lo a ser, caso não tenham o tal source code do exploit(que dá muito trabalho e é preciso saber muito) e o meu amigo vai continuar a mandar bitaques para o ar sem saber o que diz!!!!

      Ainda bem que o pplware ou outros site sério divulgam este tipo de casos, pois de uma forma sistemática, alguns grupos detectam vulnerabilidades em sites, passam a informação e são pura e simplesmente ignorados.

      Á que dar a mão à palmatória e resolver as situações, mas nestes casos as empresas, como medo de perder o cliente ao revelar que o trabalho não está todo bem – o que é fácil de acontecer, estamos a falar de programação que tem sempre falhas- preferem fazer orelhas mocas para ver se tudo passa despercebido. Espero que este não seja mais um caso!!!!

      • Como nota, a explicação que aqui está é mais do que suficiente para qualquer pessoa que trabalhe no mesmo ramo que eu consiga deduzir de imediato o código a utilizar para se aproveitar desta vulnerabilidade.
        Felizmente neste mundo ainda há muita pessoa de boa moral!

    • Marcelo Barros says:

      Pela tua lógica vez um filme onde possa acontecer um crime e sais por aí a matar.

    • João Reis says:

      Vai tentar fazer, aspirante 🙂
      O que tu fazes com a tua idade já nos faziamos com 15 anos de antecedencia. É explorando e passando a informação que as coisas vão sendo protegidas.
      Se nem o Continente se interessou até agora, com esta publicação aposto que vão prestar atenção.

    • sosnec says:

      Desculpa??? ninguém ta a motivar nada, estão apenas a informar que um dos grupos que mais lucro tem em portugal está-se nas tintas prá privacidade dos clientes. E esta não é a primeira vez… E aspirante a informático só se fores tu…

    • tone says:

      Gostei dessa “dos aspirantes a informáticos”.
      Aposto que tu és mesmo informático. Pera, se estás aqui é porque também és aspirante…
      Como já alguém disse aqui, este é um site de informação e aparecem aqui todo o tipo de pessoas para ler as notícias: aspirantes a informáticos, apaixonados por tecnologias e informáticos. De entre os informáticos, existem os sabem o básico para informático e pessoas que, muito antes de seres projecto de gente, já brincavam com computadores.
      E como conhecedor que és de informática, saberás que quem quer aprender o básico de ataques, apenas tem que perder tempo na internet. o Pplware é um mau local para essa apredizagens.

    • bemhajam says:

      Há uns que aspiram nem sabem bem a quê. Ficam pelo aspirar. Cuidado é que há certas aspirações que causam dependência.

  7. David Melo says:

    Estou a ver o continente cheio de nerds a fazerem compras ahahhah

  8. Texugoelectrico says:

    Ou seja, nem é preciso ser um grande hacker para se usar este esquema.

    Basta para isso usar um programa para fazer o código de barras e pronto. Já tive uma aplicação no telemóvel para guardar os meus cartões, por exemplo.

    A questão é que é simples fazer isto mas também é simples ser apanhado, ou seja, acredito que no sistema ficará o “rasto” do cartão, em caso de uso indevido pode-se perceber onde o dinheiro do cartão foi gasto e os supermercados há uns anos que não poupam em câmaras de vigilância.

    • A. Lopes says:

      O maior problema aqui nao é o uso indevido do cartao em supermercados. O Maior problema tem a ver com a informação ” nome completo, morada, numero de documento de identificação, tele móvel”. Esta informação pode posteriormente ser usada para outros ataques ou por burlões experientes para actividades nefárias.

      • Texugoelectrico says:

        Sim, isso é verdade mas essa informação “sensível” muitas vezes até somos nós que a entregamos de borla (redes sociais, dados de navegação, etc.).

        O pior talvez seja o Doc. de Identificação mas mesmo esse muitas vezes é disponibilizado por outros meios, um dia com uma simples pesquisa no Google encontrei um amigo que já não via há anos, uma Universidade tinha a lista de entrada de todos os alunos e lá estava ele, identificado até com o nº do BI, mas isso pode-se ir buscar a milhares de coisas, assina-se uma daquelas petições online e muitas delas até identificam o assinante pelo BI, ou então sabemos o nome de alguém e vamos ver se ele entrou na Univ, etc.

        A questão com essas informações é que quem nos quiser fazer mal tem que nos pesquisar para isso e mesmo assim nem é preciso, basta conhecer-nos minimamente para alguém nos seguir até casa e fazer-nos mal. Parece-me que a questão do código de barras é mais simples, não precisamos de conhecer ou fazer mal a alguém, se tiver-mos um valor “jeitoso” no cartão é só copiar o código, imprimir as barras e pronto lá vão eles às compras todos contentes:p

    • João Reis says:

      Não é bem assim, mas em teoria bem investigado consegues hackear qq coisa que dependa de cód de barras, é claro!

  9. tON says:

    Isto quer dizer que tanto posso ganhar descontos para alguem assim como usar o valor do saldo do cartão para mim?

  10. Nilton says:

    eu conto com o continente LOL

  11. Alberto Manuel says:

    Será só o site dos pontos???
    Eu já tive poroblema com o continente on-line .

  12. António Almeida says:

    Não percebo nada da poda.

    Mas, Três questões.

    1ª Quem já estiver registado no site está sujeito ao ataque?
    2º O cartão cliente tem um principal, este cartão é que está associado a uma “conta”, mesmo no caso de exploração aleatória este é sempre um factor de probabilidade, e não de todos os cartôes?
    3º Efectivamente a cópia de cartões é posível mas se os talões não estivem disponíveis no lixo, também é uma questão de probabilidades, eu tenho activos 2 cartões, sendo que associados já tenho 7 ou 8.

    A minha conclusão:

    Fazer registo no site.
    Destruir os cartões de caixa.

    O continente tem problema que é:

    Um empregado pode ser aliciado a facultar informação sobre cartões activos.

    O caso das clonagens de cartões MB, aconteceram com operadoes de caixa. A ocasião faz o ladrão.

  13. Xe0n says:

    Diz o continente que já apresentou queixa-crime contra os indivíduos que publicaram isso… OMG mas será que não se inteiram? Vão os marmelos ajudar e eles reagem assim. Há cada uma que até parece duas…

    • Ze says:

      Onde viste isso?

    • bemhajam says:

      Eu não sabia que ajudar tinha a definição de chantagem:

      1. crime que consiste em extorquir dinheiro, uma assinatura ou um documento, ou ainda obter uma situação vantajosa sob a ameaça de revelações comprometedoras, reais ou fictícias

      2. meio de pressão utilizado para obter algo de alguém.

      • Xe0n says:

        “A equipa fez saber que tentou por duas vezes contactar o Continente mas sem sucesso. Caso a situação não esteja resolvida, avançam com a divulgação do source code do exploit a 26 de Fevereiro.”

        Tentaram obter o quê? Segurança? Zelo pelos dados que todos lá deixamos quando nos incutem os cartões e outras complicações?
        Que se dêem por contentes se isto não avançar mais, pois acho isto muito mais grave do que se quer fazer parecer…

        E eu não vi que apresentaram queixa em lado nenhum, foi-me respondido por uma empregada quando lhe pedi satisfações.

  14. Fernando says:

    Ora Bolas….. Isto não é novidade alguma… Qualquer pessoa que já tivesse olhado para o seu cartão e talão saberia que vinha mencionado o numero do mesmo no talao. Não é preciso ter grande conhecimento para gerar um codigo barras e calcular o bit control… Apanhando kk um talao perdido,esquecido,abandonado seria facil fazer o codigo barras, podendo usar o remaining cash on it. Pena terem divulgado, vejamos se será alterado ou se somente a segurança do site renovada…. 😉

  15. Liliana B. says:

    oh my! lol

  16. Alfredo says:

    Há umas semanas também enviei uma mensagem a avisar de uma falha e os admins nem resolveram nem responderam (não é do continente)… O pessoal brinca com a segurança…

  17. Zé Turbina says:

    Cambada de trengos!!

  18. Ganhoto says:

    Há uns anos perdi o meu cartão em casa. (só tinha uma das chaves pequenas)
    Resultado: Fiz um código de barras com o código que vinha no talão e continuei a usar como se nada fosse nas caixas self service.
    Conseguia adicionar e consumir saldo sem qualquer tipo de limitação.
    Por isso se apanharmos um talão daquelas pessoas que diz assim. Tem 300€ no seu cartão.

    Temos a vida feita ;D

  19. Visitante says:

    Desculpem lá mas já não tou a perceber nada disto…

    Há um artigo exactamente igual a este aqui http://postasdepescada.com/2013/02/alerta-cartoes-site-continente-vulneraveis/

    • N. Marques says:

      Sim, é verdade, desta vez não é por piratas informáticos mas por piratas da informação. Podiam ao menos referir a origem (pplware) da informação , quando fizeram copy/paste daqui. Em todo o caso se com dois artigos não percebes … nada mais te podemos explicar…

      • Visitante says:

        “(…)quando fizeram copy/paste daqui. Em todo o caso se com dois artigos não percebes … nada mais te podemos explicar…”

        Essa deveria ir para o “E Porque Hoje é Sexta…” Se não se percebe o que se lê num artigo o melhor é tirar várias cópias. A leitura do x cópias é porporcional a y compreensão…

        Uma sofisticação em relação a “lê outra vez (o mesmo)” 🙂

  20. mmmm says:

    Bom dia a todos,

    Bem a empresa bizdirect, empresa responsável pelo código do site está tramada!!!

    😛

  21. Sabendo eu que são poucos os sites neste pais que se preocupam realmente com a segurança (ou que tenham pessoas com conhecimento suficiente já que a grande maioria pensa que mete HTTPS e já está), qualquer entidade que não seja pública ou bancária, jamais terá alguma informação pessoal minha que não a estritamente necessária.

    Se acham que esta é uma falha de segurança grave, posso já dizer que após ler esta noticia fui ao site e em 5 minutos consegui, do meu tablet e através de uma pesquisa de produto, causar uma excepção no Website e ficar com a certeza que sofre de falhas gravíssimas de SQL-injection. Mais grave é esta falha que sem ter de andar para aqui a calcular números de cartão, consegue-se extrair a informação directamente da BD…

    • Tangas says:

      Sabes ao menos o que é sql injection?
      Isso é tanga pegada.

    • Joao says:

      Este foi chutado do site e nem se apercebeu,ficou a pensar q o sql injection funcionou.

    • ZePelo says:

      Ignorante. Nem sequer no site certo estás. Isto é sobre o cartaocontinente.pt e nao sobre o continente.pt .

      • Ou seja, a tua lógica é que o site onde efectivamente podes fazer as compras com o cartão não interessa, é isso? Yep, acho que realmente sou ignorante por tentar demonstrar factos a pessoas que demonstram total desconhecimento na matéria.

        Bem, se calhar fiz mal. Devia ter colocado isto num qualquer fórum com o nome de um qualquer grupo de “hackers” (ouvi dizer que ser Anonymous está na moda) e certamente que a informação já seria completamente credível.

        Já agora, o ecrã de registo de nova conta no site http://www.cartaocontinente.pt sofre do mesmo problema. Vais dizer o quê agora, que isto é apenas sobre falhas nos cartões e chamar-me ignorante novamente?

        • bemhajam says:

          Melhor que SQL injection é agora a nova técnica SQL pill. Doi menos e o resultado é tão bom ou melhor.

          Tu deves ser o orgulho dos teus pais. Fizeste tudo o que dizia no tutorial? Óptimo, passa agora para aquele que é para maiores de 15 anos e explica como evitar bater com os costados na cadeia por fazer tutoriais sem ter cuidados.

          Sim, sei que tiveste o cuidado, já que esse é o teu trabalho. Mete ai o teu CV 🙂

  22. Joao Teste says:

    Pois… acho q é o site q funciona mal, não é sql injection.

  23. Vitor says:

    Esta negligência na protecção dos nossos dados por parte do Continente é muito grave. Penso que cada um de nós, possuidor de cartão continente, deverá enviar um email a pedir satisfação e uma comunicação pública indicando que medidas pretendem tomar para evitar ataques de força bruta deste tipo e como pretendem daqui em diante proteger os consumidores de um uso indevido do seu cartão cliente.
    O simples facto de ser possível obter dados pessoais de uma dada pessoa (BI, morada, telefone, etc) é uma violação clara à obrigação do continente de proteger os nossos dados pessoais. Este tipo de informação permite explorar outros vectores de ataques que podem ter consequências bastante graves (burlas, usurpação de identidade, etc). Portanto, toca a enviarem um email ao continente a pedir satisfações. Eu já o fiz.

    • NT says:

      Nem mais…

      Infelizmente é tudo assim, ninguém é resposabilizado por isso (tipo nos states já estavam os advogados a pedir valores altissimos porque tinha os seus dados pessoais ‘publicados’). Se formos a ver em quase todas as cadeias de lojas, por exemplo, pedem os teus dados, nome, morada, etc. e não te dizem para onde vão esses dados, no caso de pósvenda até alguns dados são ‘importantes’ para o assunto porém não ficam só associados ao pósvenda…
      Enfim, era bom que estes ‘maneis’ andem em cima destes ‘cartões’ e já agora procurem lá em site das outras ‘grandes’ nacionais, pelo que já me pude apreceber alguns componentes não são actualizados à ANOS o que os deixa com mais furos que uma rede de pesca!

  24. abc says:

    Site novamente disponível, portanto falha detectada já deve de ter sido corrigida:

    https://www.cartaocontinente.pt

  25. Carlos says:

    Isto é o que dá quando pessoas que não percebem rigorosamente nada de segurança tentam fazer sistemas seguros: cometem erros básicos.

    erro básico: usar uma gama pequena de números
    erro básico: usar códigos de barras fáceis de ler e reproduzir.
    erro básico: imprimir o número do cartão no talão
    erro básico: permitir a utilização do número do cartão para fazer login no site
    erro básico: não limitar o número de tentativas de se acertar os dados do documento de controlo.

    erro já não tão básico: não limitar o número de tentativas de se acertar o número do cartão.

    O engraçado é que já há uma data de anos que se sabe que os códigos de barras podem ser muitas coisas, mas seguros não é uma delas, aliás, um ataque bem conhecido consiste em trocar a etiqueta do códigos de barras dum produto caro pelo dum produto barato mas aparentemente igual, por exemplo trocar a etiqueta do iogurte activia xpto pelo da marca branca, ou trocar as etiquetas de livros ou cds.

    E vêm estes tipos e ainda conseguem fazer pior.

  26. Nuno S. says:

    Há imenso tempo que se sabe que o numero do cartão continente vem nos talões, basta apanhar um talão no lixo para se ter um número válido e saber o saldo do cartão em questão. Não é preciso ser grande hacker para chegar a esta conclusão…!

    Agora usar o cartão é outra coisa… as operadoras quer das caixas quer as que vigiam o self-service não passam nada no POS que não seja um cartão real.

    Quanto á segurança do site neste momento parece-me corrigida. Tentei associar um cartão e o mesmo só é possível após um contacto da operadora.

  27. Tito says:

    Conclusão: Não acumular guito no cartão. Estoura-lo todo sempre que possível! 😀

    • Nuno says:

      Ainda no outro dia estava à espera na caixa e ouvi a sra da caixa a falar com o cliente que estava a ser atendido antes de mim “tem 500€ no cartão, quer descontar? Não obrigado”…

  28. Anon says:

    Novo link no pastebin após o original ter sido removido: http://pastebin.com/EccKfSwa

  29. Xinobi says:

    Boa tarde, aconteceu-me a uma semana terem utilizado o cartão do contiente, após uma semana de ter pedido 1 novo… Há quem continue a fazer isto. Na loja dizem que é impossível tal coisa acontecer…
    Alguem sabe se há desenvolvimentos da sonae sobre isto?

  30. Assuncao Figueiredo says:

    Quero este cartao para compras

  31. Assuncao Figueiredo says:

    Quando e que podem emviar este cartao

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.