Início » Antivírus e Segurança » Vivo confirma que falha expôs dados de clientes no portal Meu Vivo

Vivo confirma que falha expôs dados de clientes no portal Meu Vivo

Falha de segurança no portal Meu Vivo expôs nome completo, endereço, RG, CPF, e-mail e número de celular de clientes

Felipe Ventura Por

O portal Meu Vivo, que permite acessar informações sobre planos de telefone, TV e internet, tinha uma falha de segurança que expôs informações pessoais dos clientes, incluindo nome completo, endereço, data de nascimento, RG, CPF, e-mail e número de celular. Há relatos de que isso afetou 24 milhões de pessoas, mas a operadora diz que o número real é "consideravelmente menor".

Vivo

"A Vivo informa que, na noite de ontem, em pouco menos de três horas, a empresa identificou e neutralizou uma vulnerabilidade no acesso ao portal de serviços Meu Vivo, com o objetivo de garantir privacidade e a segurança das informações de seus clientes", explicou a empresa em comunicado ao Tecnoblog.

Pesquisadores de segurança do grupo WhiteHat Brasil dizem ao Olhar Digital que conseguiram capturar dados de clientes através do portal Meu Vivo. Segundo eles, a falha estava presente na página web há cerca de duas semanas. Dessa forma, foi possível obter:

  • nome completo;
  • nome da mãe;
  • gênero;
  • data de nascimento;
  • RG;
  • CPF;
  • endereço completo (rua, número, cidade, estado, CEP);
  • tipo de residência (casa, apartamento etc.);
  • endereço de e-mail;
  • número de telefone.

Meu Vivo expôs dados pessoais devido a falha em token

Os pesquisadores explicam ao UOL que a falha estava no token de acesso ao Meu Vivo. Funcionava assim: todo cliente é cadastrado com um número único de identificação, que independe do seu CPF ou RG. Após inserir seu nome de usuário e senha, o sistema retornava uma URL com esse número de identificação e um token de acesso — isto é, uma sequência de caracteres que serve como uma chave para liberar o acesso.

O problema é que esse mesmo token servia para acessar o perfil de qualquer cliente; era só usar a URL com outro número de identificação. Os pesquisadores testaram números sequenciais entre 1 mil e 25 milhões, e a técnica funcionou "quase que ininterruptamente".

Daí, era possível fazer a raspagem de dados: isso consiste em coletar informações presentes em uma página da web, ou trocadas entre o servidor do site e seu computador. É algo relativamente simples de se fazer em Python ou JavaScript, por exemplo. O resultado é salvo em um formato estruturado, como uma planilha ou um arquivo de texto (JSON).

De acordo com os pesquisadores, mais de 24 milhões de pessoas podem ter sido afetadas pela falha no Meu Vivo. A operadora diz, no entanto, que "o número de clientes possivelmente impactados por esta ação ilícita é consideravelmente menor do que o divulgado por alguns órgãos da imprensa especializada". A Vivo não revela números, no entanto.

A LGPD (Lei Geral de Proteção de Dados) só começa a vigorar em agosto de 2020. Ela estabelece uma multa equivalente a 2% do faturamento, até o limite de R$ 50 milhões, para empresas que vazarem dados.

Atualizado às 17h34

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Frederico Martins

Tb queria saber. Não sou cliente há muito tempo, mas não duvido que esteja no meio.

Daniel Baldani

Tem link para saber quem foi exposto ?

Lobo Solitário

Como é a Vivo, não acontecerá nada. Se fosse a Tim...

blackfoliage

como assim? não tem nenhuma relação com a senha numerica...

Zé Colmedia

O jeito é largar a web.

richardsonvix

A Claro/Net tem uma falha que até hoje, mais de 1 ano (quando só era Net), expôs (expõem) todos os dados, valores à pagar e vencimento, basta atrasar que os falsários mandam falsos boletos de acordo com todos os seus dados, SMS também.
Eu já reclamei, já vi várias reclamações também, e nada de eles se prontificarem.

Anderson Antonio Santos Costa

O Meu Vivo sempre foi vulnerável. Principalmente por causa da senha numérica de seis dígitos que o site exige.
Espero que a Vivo aprenda a melhorar a segurança neste site.

Heisenberg

Exato. E o pior, uma falha de segurança bem amadora. Cobram caro pelo serviço e querem gastar pouco na contratação de desenvolvedor.

Adriano Garcez

Com uma senha numérica de 6 dígitos, era só uma questão de tempo.
E agora? Processo?

CentraldeControle

Contrate gente competente que isso não acontece

Guest
Tem que aplicar uma multa de no mínimo 1.000,00 reais por cliente exposto.
CentraldeControle

Tem que aplicar uma multa de no mínimo 1.000,00 reais por cliente exposto.

Michael dos Santos

Ninguém é perfeito, bugs aparecem o tempo todo.

MaTSuBa ✔

Verdade... se têm uma coisa que eu não posso discordar é o Sinal...
Rapaz, até sem aparecer nenhum risco de sinal, o 4G tá lá firme funcionando!
Mas o tanto de troca de rede que a Vivo faz( troca de 4G para H+ ou para G+ ou para G, acaba com a bateria do celular!

MaTSuBa ✔

Certo, os dados vazaram!
Pegaram esses dados e estão com eles em mãos para:
- Efetuarem pedidos de linhas telefônicas em nome dessas pessoas
- Abertura de crediários
- Solicitação de Cartões de Créditos entre outras coisas muito piores.(pois criminoso tem tempo pra planejar e fazer um regaço)
E nós ficamos com o problema de ter que sempre monitorar nosso nome, e saber se nenhuma coisa de errado aconteceu! Essa é a Internet e seus infinitos cadastros que vão sempre vazar dados!

Exibir mais comentários