Operadora informou em nota distribuída ontem que reparou o problema identificado pelo grupo ‘White Hat Brasil’. Dados expostos incluíam RG, CPF, email, telefone e nome da mãe
A Vivo corrigiu na noite de segunda-feira uma vulnerabilidade no portal Meu Vivo, destinado aos seus clientes, que pode ter exposto os dados de 24 milhões de contas. O problema foi descoberto, segundo o site noticioso Olhar digital, por um grupo de pesquisadores de segurança chamado ‘White Hat Brasil’, e publicado na última segunda-feira. No início de Outubro, o mesmo grupo informou ter descoberto a exposição de dados de 70 milhões de brasileiros no site do Detran do Rio Grande do Norte.
Na tarde de ontem, o ‘Meu Vivo’ saiu do ar, possivelmente para a finalização das correções. Por meio dele os clientes podem obter uma grande quantidade de informações sobre os serviços contratados (de internet, telefonia fixa, celular ou TV), fazer pagamentos e atualizar dados pessoais.
Como pode ter acontecido
Mesmo sem conhecer melhor a vulnerabilidade, sem saber se ela acontecia no post (encapsulada junto ao corpo da requisição HTTP) ou no get (passagem de parâmetros via url), o especialista em segurança de aplicações Ubiracy Santos suspeita de que “deveria ser uma URL com token – uma sequência numérica correspondente a cada cliente. Por segurança, esse token precisaria sempre mudar. O token era gerado mas provavelmente não existia regra para sua troca após login, com alguma regra de expiração. Assim, o código usado na URL dava acesso a outros clientes, simplesmente alterando o número e dessa forma gerando uma escalada horizontal”.
A Vivo publicou ainda ontem uma nota oficial cuja íntegra é a seguinte: “A Vivo informa que, na noite de ontem, em pouco menos de três horas, a empresa identificou e neutralizou uma vulnerabilidade no acesso ao portal de serviços Meu Vivo, com o objetivo de garantir privacidade e a segurança das informações de seus clientes. A empresa informa ainda que o número de clientes possivelmente impactados por esta ação ilícita é consideravelmente menor do que o divulgado por alguns órgãos da imprensa especializada.
A Vivo lamenta o ocorrido e ressalta que revisa constantemente suas políticas e procedimentos de segurança, na busca permanente pelos mais rígidos controles nos acessos aos dados dos seus clientes e no combate a práticas que possam ameaçar a sua privacidade. A empresa reitera que respeita a privacidade e a transparência na relação com os seus clientes.”
