Falha de segurança - Corretora Mirae


#1

Olá pessoal.

Recentemente fiz meu cadastro na corretora Mirae após ver algumas postagens aqui no fórum recomendando-a. Entretanto, observei um risco grave de segurança. Irei fazer uma reclamação formal nos canais de atendimento da corretora, e sugiro que todos que tem uma conta lá o façam também. Na pior das situações, eu recomendaria retirar todo o dinheiro e custódia da corretora até que o problema seja resolvido.

Ao criar a conta, submetemos login e senha. Se você esquecer a sua senha, ou o login, você pode tentar recuperá-los. Sugiro que todos que tem conta lá tentem fazer isto para confirmar o que estou dizendo. Ao recuperar a senha, por exemplo, a corretora então envia um email para você com a sua senha!. Isto é um problema de segurança extremamente primário. Isto significa que a corretora possui todas as senhas armazenadas como texto simples não criptografado. Vejo 2 problemas imediatos disto:

  1. Algum funcionário mal-intencionado da empresa poderia ter acesso à sua senha e portanto à sua conta. Digamos que a empresa tenha apenas os melhores profissionais na sua folha de pagamento que nunca, em nenhuma hipótese, fariam isto; ainda nos leva ao segundo problema,

  2. Qualquer hacker que venha a atacar a empresa (que pelo nível de segurança mostrado até agora não parece que seria difícil) e roube o banco de dados onde as senhas estão registradas terá acesso imediato e irrestrito a todas as contas.

As senhas deveriam ser armazenadas nos servidores em forma criptografada, ilegível para humanos. Quando se esquece uma senha, o sistema deveria enviar um link para que o usuário crie uma nova senha, já que a senha esquecida deveria ser irrecuperável. Tente recuperar a senha do seu gmail, por exemplo, e compare os procedimentos. Tente mesmo aqui no fórum penserico.


#2

Tem razão, isso é uma falha básica de segurança e precisa ser corrigida.Talvez na intenção de facilitar a vida do usuário não se deram conta deste detalhe.


#3

caramba…nao entendo nada disso…mas pelo aqui colocado é um erro primario


#4

Na verdade isso não significa necessariamente que as senhas são armazenadas em texto. É possível que seja usada uma chave para criptografar e armazenar. Quando você solicita a recuperação de senha a chave é usada para descriptografar e a senha é enviada para você.

De qualquer forma, concordo que mesmo se for este o caso, não é o ideal, pois se essa chave for bem óbvia/fraca, um invasor realmente pode conseguir descobrir as senhas. O correto é armazenar usando algoritmos de criptografia em que não é possível descriptografar e não é possível recuperar a senha. Nesse caso o sistema pode gerar uma senha temporária aleatória e pedir para que o usuário crie outra senha.


#5

De fato, armazenar senhas de maneira recuperável, sejam criptografadas ou não, é mancada feia.


#6

Para quem é da área de TI sabe que isso é erro básico e sério. Mancada mesmo.


#7

Se puder, por favor compartilhe a resposta deles conosco.


#8

Acho que é como foi dito acima. Devem criptografar e descriptografar para enviar por e-mail.
De qualquer modo, além da possibilidade da chave ser fraca ou descoberta, existe ainda a possibilidade de hackearem seu e-mail e por falha do usuário sua senha ser igual para algum outro serviço.

Seria bom entrar em contato com eles mesmo. O ideal é enviar uma senha temporária com link para alteração.


#9

Eu tenho contato com o responsável de TI de Mirae (Brasil). vou comunica-lo e repasso à vocês.


#10

Pessoal, entrei em contato com eles e me disseram que as senhas são salvas criptografadas, porém há este processo de descriptografia para o envio da mesma por email. Já existe ticket aberto para melhoria e revisão deste tema.

E me pediu para quem desejar mais detalhes sobre o assunto, enviar um email para [email protected]


#11

Qual seria a melhor opção então para evitar este risco. Me parece que na Modal tambem funciona deste jeito!!!???


#12

Acho que não pode levar somente isso em consideração, o que posso dizer é que existem outros fatores para qualificar uma corretora. esse ponto é uma falha, porém contornável, não vejo como algo que desqualifique tanto a empresa… em linhas gerais a Mirae vem sendo uma ótima corretora.


#13

Há que se lembrar que para fazer retiradas, o dinheiro só pode ir para contas previamente cadastradas. Então, em última análise, é bem difícil alguém surrupiar o seu dinheiro.
De qualquer forma, espero que a MIRAE mude essa sistemática.