Presente desde 1977 em Portugal e com 45 lojas espalhadas pelo pais, a Rádio Popular emprega, segundo o site deles, 1000 trabalhadores de forma direta.
É a segunda marca eletrónica de consumo em Portugal de acordo com informações divulgadas junto do site da marca.

E como qualquer loja, tem um site que vende os seus produtos online. E foi aí, que o Tugaleaks descobriu uma falha que possivelmente durante anos aconteceu e podia ser explorada por pessoas mal intencionadas.

Esta não é uma falha de segurança no sentido da “segurança”, mas sim uma falha na conceção do website. Embora não seja claro desde quando o website teve esta falha, pode-se especular que permaneceu assim durante anos e que só após a denúncia do Tugaleaks foi corrigida, ou melhro, “removida”.

A falha consistia em qualquer pessoa poder apoderar-se do histórico de compras de outra pessoa, seja pessoa singular ou empresa, bastando para isso que o número de contribuinte não estivesse associado a uma conta registada na Rádio Popular.
No histórico de compras era possível encontrar a loja onde o produto foi comprado, nome do artigo, tipo de artigo e nome que consta nos registos da Rádio Popular associado ao NIF.

Para se poder replicar o problema, bastava seguir os seguintes passos:
– registar um e-mail no site da Rádio Popular
– indicar um número de contribuinte ainda não inserido e alheio
– depois da conta confirmada e login feito, ir ao menu Consultar a minha conta > Histórico de encomendas
– a informação estava disponível de forma indevida na página https://www.radiopopular.pt/utilizadores/cc_historico.php que ao dia de hoje se encontra “bloqueada”

Resolução imediata

Assim que a Rádio Popular foi notificada, em menos de uma hora providenciou uma resolução para o problema. A situação foi reportada pelas 14:24 e pelas 15:04 o Tugaleaks tinha recebido uma resposta.

De acordo com informações facultadas por Francisco Rocha, Diretor do Departamento de Tecnologia de Informação e Comunicação (TIC), “este assunto foi já encaminhado internamente para respetiva analise, sendo que seguindo as melhores praticas relativas a políticas de segurança, a funcionalidade descrita estará temporariamente desabilitada enquanto decorre essa analise e/ou for confirmado/detetado qualquer constrangimento associado a mesma”. Terminou o e-mail afirmando que “face ao exposto estão por isso desde já repostas as condições necessárias para o normal funcionamento da nossa solução de comercio eletrónico”.

O Tugaleaks questiono se estavam em causa dados pessoais e iria existir comunicação à CNPD da sua violação, mas não obteve resposta.

Este é o (bom) exemplo de como uma empresa deve reagir a incidentes de segurança: de forma rápida e no empenho necessário para colmatar o problema.
Ainda assim, e para evitar que este “bug” volte a acontecer, qualquer utilizador ainda não registado na Rádio Popular deverá efetuar o seu registo para que o seu NIF esteja já “guardado” e não possa ser utilizado por outras pessoas indevidamente.

Pretendes enviaru ma denúncia?
Usa o nosso formulário anónimo.

Foto: Spacio Shopping