Início » Telecomunicações » Exclusivo: falha no Meu Vivo permite acessar CPF e telefone de outros clientes

Exclusivo: falha no Meu Vivo permite acessar CPF e telefone de outros clientes

Meu Vivo permite acessar fatura de outros clientes com CPF, nome e endereço; operadora já teve falha de segurança semelhante

Felipe VenturaPor

Um problema estranho afeta o Meu Vivo: é possível acessar a fatura de vários outros clientes, que inclui dados pessoais como CPF, nome completo, endereço e, claro, o número de telefone. Com essa brecha de segurança, há como ver contas de até um ano atrás, o valor, e se ela foi paga ou está atrasada.

Loja da Vivo em São Paulo (Imagem: Felipe Ventura / Tecnoblog)

Loja da Vivo em São Paulo (Imagem: Felipe Ventura / Tecnoblog)

O analista de sistemas Leandro Daldegam conta ao Tecnoblog que esse problema vem acontecendo várias vezes com um conhecido: ele faz login no Meu Vivo, clica em “Minhas contas” e ao invés de aparecerem os dados dele, surgem milhares de faturas em PDF de outras pessoas, que podem ser baixadas sem restrição.

Leandro explica que o erro é intermitente: às vezes a seção “Minhas contas” mostra só as faturas do cliente em questão, que contrata o Vivo Pós; às vezes aparecem as cobranças de outras pessoas. Isso ocorreu na semana passada e voltou a aparecer nesta semana.

Para mostrar a gravidade do problema, Leandro gravou o vídeo abaixo, que mostra a lista gigante de faturas que podem ser acessadas. (Ele fez pequenas modificações no código da página para esconder o nome e número de celular do cliente logado.)

O analista de sistemas também compartilhou algumas faturas com os dados pessoais borrados. Vale notar que a falha parece estar restrita ao acesso via site, sem afetar o aplicativo Meu Vivo.

Fatura vazada da Vivo (Imagem: Reprodução)

Fatura vazada da Vivo (Imagem: Reprodução)

Faturas vazada de clientes da Vivo em MG e MT (Imagem: Reprodução)

Faturas vazada de clientes da Vivo em MG e MT (Imagem: Reprodução)

Conforme apurou o Tecnoblog, existem duas versões diferentes do Meu Vivo, uma antiga e uma nova – é esta que apresenta o erro.

Há algumas diferenças entre elas na interface, mas o jeito mais certeiro de identificar é vendo a URL que aparece após fazer login: o endereço terá o termo “Vivo2Book” se a versão for antiga; e algo como “vcMeuVivoMovAmDocs” se for a nova.

O Tecnoblog entrou em contato com a Vivo e ofereceu todos os detalhes do caso, incluindo o contato com o desenvolvedor. No entanto, em comunicado, a operadora não entrou em detalhes sobre a brecha:

A Vivo monitora constantemente seus sistemas em busca de potenciais vulnerabilidades e de oportunidades de melhoria, com o objetivo de garantir a privacidade e a segurança das informações de seus clientes. A companhia destaca que possui os mais rígidos controles nos acessos aos dados dos seus consumidores e no combate a práticas que possam ameaçar a sua proteção e privacidade.

Meu Vivo já teve outra falha de segurança

Falha no Meu Vivo (Imagem: Reprodução)

Falha no Meu Vivo (Imagem: Reprodução)

No final de 2019, uma falha de segurança no portal Meu Vivo permitiu acessar nome completo, endereço, data de nascimento, RG, CPF, e-mail e número de celular. Basicamente, era possível fazer login na conta de qualquer cliente – e extrair seus dados pessoais – usando o mesmo token de acesso.

Os invasores alegavam que mais de 24 milhões de pessoas podem ter sido afetadas; a Vivo disse que o número real era “consideravelmente menor”, mas não revelou a quantidade exata. Na época, a operadora foi notificada pela Anatel e Procon-SP; ela também foi processada pelo Intervozes.

Colaborou: Lucas Braga.

Comentários da Comunidade

Participe da discussão
9 usuários participando

Os mais notáveis

Comentários com a maior pontuação

André Cardoso (@andre)

Muito obrigado empresas brasileiras, agora não preciso mais me preocupar com meus dados. Já foram todos vazados mesmo

Danílio Costa da Silva (@Daniliocs)

Exatamente isso que eu pensei. Já vazou tudo que tinha pra vazar, que diferença faz agora?

Matheus Santos (@Matheus_Santos)

Triste. Mas fazer o que num país que trata o corona como nada? Acha realmente que seus dados pessoais são importantes? É de cair o queixo… Impunidade mil. Leis rasgadas!!

Gustavo Cardoso (@Gustavo_Cardoso)

Deveriam mudar o nome do portal para SEUS VIVO… rs

Tech Nerd 🤓 (@technerd)

Daqui a pouco o Tecnoblog pode mudar de nome pra Leakblog de tantos vazamentos que estão aparecendo. A realidade é dura, as empresas fazem lobby monstruoso para ficar com os dados das pessoas (exemplo: cadastro impositivo), pq isso é base para vender produtos e serviços e gerar milhões de reais em receitas, mas a contra parte disso seria NO MÍNIMO proteger esses dados. Quando acontecem vazamentos absurdos se fazem de loucas e culpam os outros.

imhotep (@imhotep)

Sistema da Vivo tá estranho mesmo. No mês passado não recebi a conta, nem estava disponível no site. Tive que entrar no atendimento e pedir a geração.

Cauan Henrique Zorzenon (@Cauan_Henrique_Zorze)

A minha não gerou de dezembro e essa, foi juntada o valor para Janeiro. Disseram que foi uma reorganização de datas de pagamentos, bom também tive desconto por essa falha ( já que não tinha dinheiro para pagar às duas juntas ) então foi bom para ambas às partes