Falha no 'Emprego dos Sonhos' permitia votos infinitos em participantes

1 min de leitura
Imagem de: Falha no 'Emprego dos Sonhos' permitia votos infinitos em participantes
Avatar do autor

A Serasa Experian, serviço de informações para empresas e consumidores, está com uma campanha chamada "O Emprego dos Sonhos". Esta vai selecionar um brasileiro para ganhar R$ 100 mil e viajar pelo Brasil durante um ano, com todas as despesas de transporte, acomodação, alimentação e seguro de saúde pagas. De acordo com a companhia, o trabalho será "conhecer pessoas reais, com problemas financeiros reais e ajudar a captar histórias, desvendar dores, buscar soluções criativas".

Essa proposta, que é bem atraente para muitos brasileiros, tem recebido milhares de inscrições de participantes. Então, a Serasa vai chamar as 10 pessoas mais votadas no site oficial "O Emprego dos Sonhos" para uma seleção final. Acontece que o site possuía uma falha de segurança amadora, e qualquer pessoa conseguia votar quantas vezes quisesse em um participante.

Estamos apurando os fatos em uma análise minuciosa para identificar votos inválidos

Um leitor anônimo via Denúncia (denuncia@tecmundo.com.br) enviou a vulnerabilidade ao TecMundo. A Serasa foi alertada logo em seguida para a correção do problema às 15h00 desta sexta-feira (18).

A falha poderia ser facilmente explorada da seguinte maneira: após realizar um voto para um candidato, bastaria ao eleitor clicar com o botão direito do mouse no botão de voto e escolher "Inspecionar". Com o código da página aberta, bastaria alterar o número "value" em "user_id" para liberar mais um voto. Dessa maneira, qualquer pessoa poderia votar mais de uma vez.

Em email, a Serasa respondeu o seguinte: "Identificamos o problema e já implementamos a correção da falha. Estamos apurando os fatos em uma análise minuciosa para identificar votos inválidos. Aproveitamos para salientar que, além da votação dos vídeos através do site, outros cinco candidatos serão selecionados exclusivamente pela equipe do SerasaConsumidor".

Qualquer entrada de número permitia a falha

Fontes

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.