TNT Brasil vazou fretes milionários e registros de rota de caminhões

O pesquisador de segurança Carlos Daniel Giovanella tentava rastrear a compra de uma cadeira gamer no site da TNT Express — até aqui, algo normal para a vida de qualquer consumidor online. O problema foi quando Giovanella notou algo estranho na URL do rastreamentofeito pela TNT, que culminou na descoberta de 98 milhões de registros de fretes, com informações sigilosas como pontos de parada e valores envolvidos, expostos na internet.

A TNT Brasil, por meio da FedEX, confirmou a falha ao TecMundo e afirmou que investiga o caso após realizar as devidas correções. A nota, completa, pode ser lida nos próximos parágrafos.

Ao pegar o código de rastreio, entrei no site da TNT Express para verificar aonde se encontrava, e, observei que na URL estava sendo passado um ‘BASE64’ no valor de ‘OTgzNTUxNjM=’”, disse o pesquisador que atua na aCCESS Security Labs. “Isso me deixou curioso. Fui decodificar, e o valor equivalente ao base64 era 98.355.163, o que deduzi que seria o número de fretes, baseado em algum índice. Comecei a verificar a partir deste ponto: a página, à princípio, não te dá muitas informações do rastreio, então, trocar o base64 por números decrescentes, não me daria praticamente nenhuma informação”.

O pesquisador, após esse passo, resolveu verificar o código fonte da página e acabou encontrando o parâmetro “ID do Documento” (o base64 decodificado da URL). Neste local, Giovanella encontrou um função jQuery com dados ‘.json’ sobre o ID do documento.

Foram expostas as seguintes informações no domínio da TNT Express:

  • Tipo do Frete
  • CPF/CNPJ do Remetente, Destinatário e Devedor
  • Endereço do Remetente, Destinatário e Devedor
  • Nome Completo do Remetente, Destinatário e Devedor
  • Número da Nota Fiscal
  • Data de Envio
  • Preço da mercadoria
  • Peso e quantia dos produtos enviados
  • Informações gerais da entrega (se foi entregue, rotas, pedágios, cancelamento etc)