Início » Antivírus e Segurança » Vivo confirma que falha expôs dados de clientes no portal Meu Vivo

Vivo confirma que falha expôs dados de clientes no portal Meu Vivo

Falha de segurança no portal Meu Vivo expôs nome completo, endereço, RG, CPF, e-mail e número de celular de clientes

Felipe Ventura Por
05/11/2019 às 17h14

O portal Meu Vivo, que permite acessar informações sobre planos de telefone, TV e internet, tinha uma falha de segurança que expôs informações pessoais dos clientes, incluindo nome completo, endereço, data de nascimento, RG, CPF, e-mail e número de celular. Há relatos de que isso afetou 24 milhões de pessoas, mas a operadora diz que o número real é "consideravelmente menor".

Vivo

"A Vivo informa que, na noite de ontem, em pouco menos de três horas, a empresa identificou e neutralizou uma vulnerabilidade no acesso ao portal de serviços Meu Vivo, com o objetivo de garantir privacidade e a segurança das informações de seus clientes", explicou a empresa em comunicado ao Tecnoblog.

Pesquisadores de segurança do grupo WhiteHat Brasil dizem ao Olhar Digital que conseguiram capturar dados de clientes através do portal Meu Vivo. Segundo eles, a falha estava presente na página web há cerca de duas semanas. Dessa forma, foi possível obter:

  • nome completo;
  • nome da mãe;
  • gênero;
  • data de nascimento;
  • RG;
  • CPF;
  • endereço completo (rua, número, cidade, estado, CEP);
  • tipo de residência (casa, apartamento etc.);
  • endereço de e-mail;
  • número de telefone.

Meu Vivo expôs dados pessoais devido a falha em token

Os pesquisadores explicam ao UOL que a falha estava no token de acesso ao Meu Vivo. Funcionava assim: todo cliente é cadastrado com um número único de identificação, que independe do seu CPF ou RG. Após inserir seu nome de usuário e senha, o sistema retornava uma URL com esse número de identificação e um token de acesso — isto é, uma sequência de caracteres que serve como uma chave para liberar o acesso.

O problema é que esse mesmo token servia para acessar o perfil de qualquer cliente; era só usar a URL com outro número de identificação. Os pesquisadores testaram números sequenciais entre 1 mil e 25 milhões, e a técnica funcionou "quase que ininterruptamente".

Daí, era possível fazer a raspagem de dados: isso consiste em coletar informações presentes em uma página da web, ou trocadas entre o servidor do site e seu computador. É algo relativamente simples de se fazer em Python ou JavaScript, por exemplo. O resultado é salvo em um formato estruturado, como uma planilha ou um arquivo de texto (JSON).

De acordo com os pesquisadores, mais de 24 milhões de pessoas podem ter sido afetadas pela falha no Meu Vivo. A operadora diz, no entanto, que "o número de clientes possivelmente impactados por esta ação ilícita é consideravelmente menor do que o divulgado por alguns órgãos da imprensa especializada". A Vivo não revela números, no entanto.

A LGPD (Lei Geral de Proteção de Dados) só começa a vigorar em agosto de 2020. Ela estabelece uma multa equivalente a 2% do faturamento, até o limite de R$ 50 milhões, para empresas que vazarem dados.

Atualizado às 17h34

Mais sobre: ,