Claro expôs dados de 8 milhões de clientes em site com falha de segurança

A Claro tinha um problema de segurança no site Minha Claro Residencial, que permite ver serviços de TV por assinatura e banda larga fixa prestados pela NET. Usando um mesmo token de acesso, era possível vasculhar o cadastro de outros clientes, revelando seu CPF, endereço e celular. A operadora diz que a falha foi corrigida. No início do mês, o portal Meu Vivo teve uma brecha semelhante.

• Falha em sistemas da Unimed expôs dados e histórico de pacientes
• O que fazer se alguma senha sua vazou na internet

Os pesquisadores da WhiteHat Brasil explicam ao UOL que era possível usar uma URL modificada para consultar o perfil de 8 milhões de clientes e ex-clientes da Claro, incluindo endereço, número de telefone, data de nascimento, CPF, nome da mãe e número de dependentes.

O site Minha Claro Residencial pede login e senha para liberar o acesso. Feito isso, o navegador recebe uma URL com dois dados importantes: um número que corresponde ao seu cadastro na Claro; e um token, sequência de caracteres que deveria ser única.

O problema: esse token não era único. Os pesquisadores conseguiram usá-lo para acessar o perfil de outros usuários, bastando trocar o número de cadastro. Então, eles criaram um site para demonstrar a brecha de segurança, exibindo dados de clientes atuais e antigos, que já cancelaram o serviço.

A falha esteve presente até quinta-feira passada (14). A operadora diz em comunicado que "identificou e corrigiu rapidamente, no dia 14 de novembro, a eventual vulnerabilidade na aplicação Minha Claro Residencial e não foi identificado nenhum prejuízo aos clientes".

Meu Vivo permitia acessar dados de outros clientes

No início de novembro, foi encontrada uma falha semelhante no portal Meu Vivo: era possível visualizar o perfil de diversos clientes reutilizando um token de acesso na URL. Foram expostos dados como nome completo, RG, CPF, endereço, e-mail e número de telefone. A Vivo corrigiu o problema.

A LGPD (Lei Geral de Proteção de Dados) só entra em vigor no ano que vem, em agosto de 2020. Ela não se aplicará a vazamentos ocorridos antes dessa data.