Início » Antivírus e Segurança » Claro expôs dados de 8 milhões de clientes em site com falha de segurança

Claro expôs dados de 8 milhões de clientes em site com falha de segurança

Felipe Ventura Por
News

A Claro tinha um problema de segurança no site Minha Claro Residencial, que permite ver serviços de TV por assinatura e banda larga fixa prestados pela NET. Usando um mesmo token de acesso, era possível vasculhar o cadastro de outros clientes, revelando seu CPF, endereço e celular. A operadora diz que a falha foi corrigida. No início do mês, o portal Meu Vivo teve uma brecha semelhante.

Claro

Os pesquisadores da WhiteHat Brasil explicam ao UOL que era possível usar uma URL modificada para consultar o perfil de 8 milhões de clientes e ex-clientes da Claro, incluindo endereço, número de telefone, data de nascimento, CPF, nome da mãe e número de dependentes.

O site Minha Claro Residencial pede login e senha para liberar o acesso. Feito isso, o navegador recebe uma URL com dois dados importantes: um número que corresponde ao seu cadastro na Claro; e um token, sequência de caracteres que deveria ser única.

O problema: esse token não era único. Os pesquisadores conseguiram usá-lo para acessar o perfil de outros usuários, bastando trocar o número de cadastro. Então, eles criaram um site para demonstrar a brecha de segurança, exibindo dados de clientes atuais e antigos, que já cancelaram o serviço.

A falha esteve presente até quinta-feira passada (14). A operadora diz em comunicado que "identificou e corrigiu rapidamente, no dia 14 de novembro, a eventual vulnerabilidade na aplicação Minha Claro Residencial e não foi identificado nenhum prejuízo aos clientes".

Meu Vivo permitia acessar dados de outros clientes

No início de novembro, foi encontrada uma falha semelhante no portal Meu Vivo: era possível visualizar o perfil de diversos clientes reutilizando um token de acesso na URL. Foram expostos dados como nome completo, RG, CPF, endereço, e-mail e número de telefone. A Vivo corrigiu o problema.

A LGPD (Lei Geral de Proteção de Dados) só entra em vigor no ano que vem, em agosto de 2020. Ela não se aplicará a vazamentos ocorridos antes dessa data.

Mais sobre: ,
Vivo confirma que falha expôs dados de clientes no portal Meu Vivo

Vivo confirma que falha expôs dados de clientes no portal Meu Vivo

Falha de segurança no portal Meu Vivo expôs nome completo, endereço, RG, CPF, e-mail e número de celular de clientes
Anatel e Procon-SP notificam Vivo após dados de clientes serem expostos

Anatel e Procon-SP notificam Vivo após dados de clientes serem expostos

A Vivo poderá sofrer sanções caso os órgãos entendam que os direitos dos consumidores foram violados
Governo de SP confirma que expôs dados pessoais de 28 mil habitantes

Governo de SP confirma que expôs dados pessoais de 28 mil habitantes

Falha no sistema do ProAC expôs imagens de RG, CPF e comprovante de endereço; Secretaria de Cultura abre sindicância
Falha em sistemas da Unimed expôs dados e histórico de pacientes

Falha em sistemas da Unimed expôs dados e histórico de pacientes

A brecha em unidades da Unimed permitiu que qualquer um tivesse acesso a registros como nome, CPF e exames de pacientes
Vale expõe documentos internos no Google que mostram como lidar com acidentes

Vale expõe documentos internos no Google que mostram como lidar com acidentes

Documentos internos da Vale ficaram expostos na internet; vazamento foi resposta à tragédia de Brumadinho (MG)