Um problema estranho afeta o Meu Vivo: é possível acessar a fatura de vários outros clientes, que inclui dados pessoais como CPF, nome completo, endereço e, claro, o número de telefone. Com essa brecha de segurança, há como ver contas de até um ano atrás, o valor, e se ela foi paga ou está atrasada.
- Como escolher um plano de celular [Vivo, TIM, Claro ou Oi]
- Qual operadora tem a melhor cobertura no Brasil?
Loja da Vivo em São Paulo (Imagem: Felipe Ventura / Tecnoblog)
O analista de sistemas Leandro Daldegam conta ao Tecnoblog que esse problema vem acontecendo várias vezes com um conhecido: ele faz login no Meu Vivo, clica em “Minhas contas” e ao invés de aparecerem os dados dele, surgem milhares de faturas em PDF de outras pessoas, que podem ser baixadas sem restrição.
Leandro explica que o erro é intermitente: às vezes a seção “Minhas contas” mostra só as faturas do cliente em questão, que contrata o Vivo Pós; às vezes aparecem as cobranças de outras pessoas. Isso ocorreu na semana passada e voltou a aparecer nesta semana.
Para mostrar a gravidade do problema, Leandro gravou o vídeo abaixo, que mostra a lista gigante de faturas que podem ser acessadas. (Ele fez pequenas modificações no código da página para esconder o nome e número de celular do cliente logado.)
O analista de sistemas também compartilhou algumas faturas com os dados pessoais borrados. Vale notar que a falha parece estar restrita ao acesso via site, sem afetar o aplicativo Meu Vivo.
Fatura vazada da Vivo (Imagem: Reprodução)
Conforme apurou o Tecnoblog, existem duas versões diferentes do Meu Vivo, uma antiga e uma nova – é esta que apresenta o erro.
Há algumas diferenças entre elas na interface, mas o jeito mais certeiro de identificar é vendo a URL que aparece após fazer login: o endereço terá o termo “Vivo2Book” se a versão for antiga; e algo como “vcMeuVivoMovAmDocs” se for a nova.
O Tecnoblog entrou em contato com a Vivo e ofereceu todos os detalhes do caso, incluindo o contato com o desenvolvedor. No entanto, em comunicado, a operadora não entrou em detalhes sobre a brecha:
A Vivo monitora constantemente seus sistemas em busca de potenciais vulnerabilidades e de oportunidades de melhoria, com o objetivo de garantir a privacidade e a segurança das informações de seus clientes. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate a práticas que possam ameaçar a sua proteção e privacidade.
Meu Vivo já teve outra falha de segurança
Falha no Meu Vivo (Imagem: Reprodução)
No final de 2019, uma falha de segurança no portal Meu Vivo permitiu acessar nome completo, endereço, data de nascimento, RG, CPF, e-mail e número de celular. Basicamente, era possível fazer login na conta de qualquer cliente – e extrair seus dados pessoais – usando o mesmo token de acesso.
Os invasores alegavam que mais de 24 milhões de pessoas podem ter sido afetadas; a Vivo disse que o número real era “consideravelmente menor”, mas não revelou a quantidade exata. Na época, a operadora foi notificada pela Anatel e Procon-SP; ela também foi processada pelo Intervozes.
Colaborou: Lucas Braga.
Comentários da Comunidade
Participe da discussãoOs mais notáveis
Muito obrigado empresas brasileiras, agora não preciso mais me preocupar com meus dados. Já foram todos vazados mesmo
tédio.gif
Exatamente isso que eu pensei. Já vazou tudo que tinha pra vazar, que diferença faz agora?
Triste. Mas fazer o que num país que trata o corona como nada? Acha realmente que seus dados pessoais são importantes? É de cair o queixo… Impunidade mil. Leis rasgadas!!
Deveriam mudar o nome do portal para SEUS VIVO… rs
Daqui a pouco o Tecnoblog pode mudar de nome pra Leakblog de tantos vazamentos que estão aparecendo. A realidade é dura, as empresas fazem lobby monstruoso para ficar com os dados das pessoas (exemplo: cadastro impositivo), pq isso é base para vender produtos e serviços e gerar milhões de reais em receitas, mas a contra parte disso seria NO MÍNIMO proteger esses dados. Quando acontecem vazamentos absurdos se fazem de loucas e culpam os outros.
Sistema da Vivo tá estranho mesmo. No mês passado não recebi a conta, nem estava disponível no site. Tive que entrar no atendimento e pedir a geração.
A minha não gerou de dezembro e essa, foi juntada o valor para Janeiro. Disseram que foi uma reorganização de datas de pagamentos, bom também tive desconto por essa falha ( já que não tinha dinheiro para pagar às duas juntas ) então foi bom para ambas às partes