Início » Telecomunicações » Falha grave da Surf Telecom permite acessar dados de outros clientes

Falha grave da Surf Telecom permite acessar dados de outros clientes

Aplicativos da Mega+ e de outras MVNOs permitiam acessar informações de clientes com linhas de celular da Surf Telecom sem código de confirmação

Lucas Braga Por

Uma falha grave de segurança atingiu aplicativos de empresas vinculadas à Surf Telecom. Usuários do app da Mega+ – operadora virtual que assumiu os clientes da antiga Intercel, do Banco Inter – conseguiam acessar dados das linhas de celular de terceiros, desde que colocassem o número de celular de outro cliente e informassem qualquer código numérico na confirmação por SMS.

App da MVNO permitia acesso indevido a outras linhas

App da MVNO permitia acesso indevido a outras linhas (Imagem: Lucas Braga/Tecnoblog)

A falha foi divulgada pelo Minha Operadora, que recebeu um vídeo de um usuário acessando a própria conta e confirmou um código de acesso diferente do que o enviado via SMS. O acesso indevido permite que terceiros visualizem informações privadas como o consumo de dados, ligações e SMS, bem como o histórico de recarga e dados de pagamentos, como cartão de crédito.

Após a falha, o aplicativo da Mega+ foi retirado da Play Store, enquanto a versão para iOS foi atualizada e não faz o login indevido. No entanto, a brecha de segurança também atinge aplicativos de outras MVNOs da Surf Telecom que continuam sendo distribuídos nas lojas.

Eu baixei o aplicativo da Alô Todos para Android e iOS e consegui fazer login na linha do Everton Favretto, assistente de conteúdo do Tecnoblog. Ele possui um chip da antiga Intercel, e foi possível entrar no aplicativo com seu número sem informar o código de segurança enviado por SMS.

Apesar do login concluído, não é mais possível verificar informações pessoais: o consumo de dados deixou de ser carregado, e o histórico de pagamentos e recargas fica em branco.

Na quinta-feira (1º), a Surf enviou o seguinte comunicado ao Tecnoblog:

A Surf Telecom informa que após análises técnicas e uma rígida revisão em seu sistema, todas as falhas relacionadas à autenticação já foram resolvidas e os aplicativos de seus clientes operam sem anormalidades. O problema técnico aconteceu em razão da versão disponibilizada ser a Beta, de testes, ainda não definitiva. A empresa reforça que realiza atualizações constantes e em nenhum momento informações pessoais de seus usuários estiveram expostas.

Vale notar que, neste vídeo do Minha Operadora, claramente é possível verificar informações da linha:

Banco Inter deixa Surf Telecom pela Vivo

É possível descrever que a Surf Telecom como uma facilitadora para que empresas de outros setores se tornem uma operadora de celular. A tele, que utiliza cobertura da TIM, abriga dezenas de MVNOs incluindo a Uber Chip, times de futebol, varejistas e celebridades como KLB e Larissa Manoela.

No entanto, algumas empresas romperam com a Surf Telecom nos últimos anos: o Banco Inter fechou um novo acordo com a Vivo e os clientes da antiga Intercel foram transferidos para uma nova MVNO, a Mega+.

A Magazine Luiza também é (era?) parceira da Surf Telecom com a operadora Maga+ (não confundir com Mega+), mas a varejista prepara uma nova MVNO em parceria com a Claro.

Atualizado em 01/07

Comentários da Comunidade

Participe da discussão
6 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Felipe Silva (@Felipe_Silva)

Essa coisa de fica contratando uma operadora virtual pra qualquer empresa ser uma operadora me parece uma baita furada além de dá um monte de problemas, melhor é se acabassem com isso.
Quer ser uma operadora então monte a estrutura necessária pra ser uma operadora virtual, só usando a rede das operadoras físicas, sem depender de um atravessador como a Surf Telecom.

Luiz Henrique (@Luiz574)

Empresinha patética, já deixou os clientes vários dias sem serviço por causa de picuinha entre os acionistas