Gratuito e sem SMS: como cartões corporativos de alimentação podem se tornar o alvo perfeito para engenharia social
A aparente conveniência dos cartões de alimentação corporativos esconde uma vulnerabilidade crítica: um API público desprotegido que expõe dados sensíveis dos funcionários, abrindo portas para ataques de engenharia social.
MundiX News·17 de junho de 2026·4 min de leitura·👁 8 views
Em muitas organizações, existe um benefício de apoio e retenção de funcionários conhecido como cartões corporativos pré-pagos de alimentação, ou "foodcards". Trimestralmente, o departamento de contabilidade transfere para eles quantias relativamente pequenas, suficientes para um café, um analgésico ou um doce. O intermediário financeiro é uma das organizações não comerciais de liquidação (NCO) do país. Para o empregador, isso é vantajoso: o esquema é mais barato, livra de problemas e reduz a carga tributária, enquanto a NCO obtém seu lucro legítimo. Todos ficam felizes. Todos estão seguros. Todos pensam assim.
Para verificar o saldo do cartão, o titular deve acessar um site landing page em um subdomínio especial, inserir o número no verso do plástico e, pronto – o sistema exibe os dados do saldo, o status das notificações por SMS... e o histórico completo de transações. Com um pouco de curiosidade saudável (ou nem tanto), é possível descobrir que todos esses dados sensíveis são fornecidos como resultado de uma única requisição simples: GET /api/v1/foodcard/3001234567894?limit=100. Sem senha. Sem token. Nem mesmo uma vaga sugestão de proteção de dois fatores. Gratuito e sem SMS. Basta pegar e ver. Como se um banco emitisse um extrato de conta para qualquer um que soubesse o número da sua caixa de correio. O JSON retornado inclui informações como telefone (parcialmente mascarado), saldo disponível, histórico de transações com detalhes como data, valor, nome do estabelecimento, tipo de transação, MCC, ID do comerciante e cidade, além do status das notificações por SMS e o tipo do cartão. Para fins de demonstração, apenas uma operação foi mantida no histórico, mas isso é suficiente para avaliar a magnitude do problema.
Se assumirmos que o backend do serviço aloca um conjunto de números no formato EAN-13 para uma organização específica, esses números podem ser descobertos por meio de um simples brute-force. Isso significa que os dados sobre hora, local e valor da compra se transformam em padrões comportamentais prontos. Para um "homem comum", isso é apenas um conjunto de números. Mas para um insider, a situação é diferente. O acesso ao diretório corporativo em uma empresa é praticamente universal. Essa pessoa pode cruzar esses registros em minutos, e como ela usará isso é uma grande questão. Confesso que não percebi a profundidade total do problema imediatamente. A única coisa que me veio à mente no momento da descoberta foi: "API público? Ótimo! Afinal, posso codificar um aplicativo Android para mim e para meus colegas, pois verificar o saldo pelo site é tão inconveniente!". E foi o que fiz com entusiasmo por várias semanas, até perder o interesse.
Frequentemente, pensamos que, na era da transparência total dos dados, somos tão insignificantes que nos assemelhamos ao "Joe Inatingível". No entanto, o principal perigo reside na engenharia social. Com o tempo, local e valor de transações recentes em mãos, um invasor obtém um ponto de partida ideal para stalking... ou phishing. Uma ligação supostamente do "serviço de segurança" mencionando a compra de ontem em uma loja específica já não soa como um palpite, mas como um fato inquestionável. Essa conscientização assustadora quebra instantaneamente as defesas psicológicas, fazendo com que a vítima assustada acredite no interlocutor e entregue voluntariamente o acesso às suas finanças ou sistemas corporativos.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Em muitas organizações, existe um benefício de apoio e retenção de funcionários conhecido como cartões corporativos pré-pagos de alimentação, ou "foodcards". Trimestralmente, o departamento de contabilidade transfere para eles quantias relativamente pequenas, suficientes para um café, um analgésico ou um doce. O intermediário financeiro é uma das organizações não comerciais de liquidação (NCO) do país. Para o empregador, isso é vantajoso: o esquema é mais barato, livra de problemas e reduz a carga tributária, enquanto a NCO obtém seu lucro legítimo. Todos ficam felizes. Todos estão seguros. Todos pensam assim.
Para verificar o saldo do cartão, o titular deve acessar um site landing page em um subdomínio especial, inserir o número no verso do plástico e, pronto – o sistema exibe os dados do saldo, o status das notificações por SMS... e o histórico completo de transações. Com um pouco de curiosidade saudável (ou nem tanto), é possível descobrir que todos esses dados sensíveis são fornecidos como resultado de uma única requisição simples: GET /api/v1/foodcard/3001234567894?limit=100. Sem senha. Sem token. Nem mesmo uma vaga sugestão de proteção de dois fatores. Gratuito e sem SMS. Basta pegar e ver. Como se um banco emitisse um extrato de conta para qualquer um que soubesse o número da sua caixa de correio. O JSON retornado inclui informações como telefone (parcialmente mascarado), saldo disponível, histórico de transações com detalhes como data, valor, nome do estabelecimento, tipo de transação, MCC, ID do comerciante e cidade, além do status das notificações por SMS e o tipo do cartão. Para fins de demonstração, apenas uma operação foi mantida no histórico, mas isso é suficiente para avaliar a magnitude do problema.
Se assumirmos que o backend do serviço aloca um conjunto de números no formato EAN-13 para uma organização específica, esses números podem ser descobertos por meio de um simples brute-force. Isso significa que os dados sobre hora, local e valor da compra se transformam em padrões comportamentais prontos. Para um "homem comum", isso é apenas um conjunto de números. Mas para um insider, a situação é diferente. O acesso ao diretório corporativo em uma empresa é praticamente universal. Essa pessoa pode cruzar esses registros em minutos, e como ela usará isso é uma grande questão. Confesso que não percebi a profundidade total do problema imediatamente. A única coisa que me veio à mente no momento da descoberta foi: "API público? Ótimo! Afinal, posso codificar um aplicativo Android para mim e para meus colegas, pois verificar o saldo pelo site é tão inconveniente!". E foi o que fiz com entusiasmo por várias semanas, até perder o interesse.
Frequentemente, pensamos que, na era da transparência total dos dados, somos tão insignificantes que nos assemelhamos ao "Joe Inatingível". No entanto, o principal perigo reside na engenharia social. Com o tempo, local e valor de transações recentes em mãos, um invasor obtém um ponto de partida ideal para stalking... ou phishing. Uma ligação supostamente do "serviço de segurança" mencionando a compra de ontem em uma loja específica já não soa como um palpite, mas como um fato inquestionável. Essa conscientização assustadora quebra instantaneamente as defesas psicológicas, fazendo com que a vítima assustada acredite no interlocutor e entregue voluntariamente o acesso às suas finanças ou sistemas corporativos.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
