Exclusivo: falha no Meu Vivo permite acessar CPF e telefone de outros clientes

Um problema estranho afeta o Meu Vivo: é possível acessar a fatura de vários outros clientes, que inclui dados pessoais como CPF, nome completo, endereço e, claro, o número de telefone. Com essa brecha de segurança, há como ver contas de até um ano atrás, o valor, e se ela foi paga ou está atrasada.

• Como escolher um plano de celular [Vivo, TIM, Claro ou Oi]
• Qual operadora tem a melhor cobertura no Brasil?

Loja da Vivo em São Paulo (Imagem: Felipe Ventura / Tecnoblog)

O analista de sistemas Leandro Daldegam conta ao Tecnoblog que esse problema vem acontecendo várias vezes com um conhecido: ele faz login no Meu Vivo, clica em “Minhas contas” e ao invés de aparecerem os dados dele, surgem milhares de faturas em PDF de outras pessoas, que podem ser baixadas sem restrição.

Leandro explica que o erro é intermitente: às vezes a seção “Minhas contas” mostra só as faturas do cliente em questão, que contrata o Vivo Pós; às vezes aparecem as cobranças de outras pessoas. Isso ocorreu na semana passada e voltou a aparecer nesta semana.

Para mostrar a gravidade do problema, Leandro gravou o vídeo abaixo, que mostra a lista gigante de faturas que podem ser acessadas. (Ele fez pequenas modificações no código da página para esconder o nome e número de celular do cliente logado.)

O analista de sistemas também compartilhou algumas faturas com os dados pessoais borrados. Vale notar que a falha parece estar restrita ao acesso via site, sem afetar o aplicativo Meu Vivo.

Fatura vazada da Vivo (Imagem: Reprodução)

Faturas vazada de clientes da Vivo em MG e MT (Imagem: Reprodução)

Conforme apurou o Tecnoblog, existem duas versões diferentes do Meu Vivo, uma antiga e uma nova – é esta que apresenta o erro.

Há algumas diferenças entre elas na interface, mas o jeito mais certeiro de identificar é vendo a URL que aparece após fazer login: o endereço terá o termo “Vivo2Book” se a versão for antiga; e algo como “vcMeuVivoMovAmDocs” se for a nova.

O Tecnoblog entrou em contato com a Vivo e ofereceu todos os detalhes do caso, incluindo o contato com o desenvolvedor. No entanto, em comunicado, a operadora não entrou em detalhes sobre a brecha:

A Vivo monitora constantemente seus sistemas em busca de potenciais vulnerabilidades e de oportunidades de melhoria, com o objetivo de garantir a privacidade e a segurança das informações de seus clientes. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate a práticas que possam ameaçar a sua proteção e privacidade.

Meu Vivo já teve outra falha de segurança

Falha no Meu Vivo (Imagem: Reprodução)

No final de 2019, uma falha de segurança no portal Meu Vivo permitiu acessar nome completo, endereço, data de nascimento, RG, CPF, e-mail e número de celular. Basicamente, era possível fazer login na conta de qualquer cliente – e extrair seus dados pessoais – usando o mesmo token de acesso.

Os invasores alegavam que mais de 24 milhões de pessoas podem ter sido afetadas; a Vivo disse que o número real era “consideravelmente menor”, mas não revelou a quantidade exata. Na época, a operadora foi notificada pela Anatel e Procon-SP; ela também foi processada pelo Intervozes.

Colaborou: Lucas Braga.