Uma falha em um site da empresa de telecomunicação Vivo expôs as informações pessoais de pelo menos 24 milhões de clientes. O problema foi descoberto pelo grupo de pesquisadores de segurança Whitehat Brasil, que busca identificar brechas em sites que dispõem de grandes bases de dados.

Reportado inicialmente pelo Olhar Digital e confirmado por Tilt, o furo de segurança que expunha milhões de brasileiros estava presente na página "Meu Vivo". É por meio dela que clientes acessam seu perfil e podem ver detalhes dos serviços prestados pela empresa —internet, telefonia fixa, celular ou TV paga. O site saiu do ar no início da tarde desta terça-feira (5), provavelmente para corrigir o problema.

Até então, era possível obter as seguintes informações de clientes da Vivo:

Endereço

Telefone e celular

Data de nascimento

CPF

Nome da mãe

A Vivo informou que neutralizou o problema ainda na noite desta segunda-feira (4). Ainda que não negue a exposição dos dados, a empresa informa que "o número de clientes possivelmente impactados por esta ação ilícita é consideravelmente menor do que o divulgado" (veja abaixo a nota da companhia na íntegra).

Tilt conversou com um dos pesquisadores da Whitehat Brasil, que preferiu não se identificar. Ele classificou o erro encontrado na página da Vivo como "tosco" e "bem besta".

Disse ainda que descobriu o erro quase que sem querer. Como sabe que qualquer plataforma está sujeita a falhas que podem deixar dados de clientes expostos, ele testa a segurança de serviços dos quais é cliente. Foi o caso da Vivo. Como o sistema já está fora do ar, é possível descrever como a brecha foi encontrada.

O pesquisador usa um programa que registra os dados enviados a um servidor e aqueles que são mandados de volta. Após inserir login e senha no site da Vivo, ele recebeu uma URL, que correspondia ao endereço do seu perfil na Vivo, e um "token", uma sequência de números que serve como chave segura e deveria ser única. O problema foi que esse token não era único.

Bastava trocar o último número da URL e usar o mesmo token para ter acesso à conta de outro cliente. Ele conta que isso funcionou quase que ininterruptamente entre os números 1 mil e 25 milhões.

É um erro bem besta, bem fácil de achar e provavelmente alguém já estava usando há muito tempo e com maldade. É muito simples. Você só precisa logar no site e já consegue ter acesso a qualquer outra conta. Não precisa hackear, fazer nada. É muito tosco

Pesquisador do Whitehat Brasil

Para mostrar que a falha estava ativa, o programa criou um site que mostrava os dados capturados. Tilt viu as informações de um dos perfis, provenientes de uma cliente de Minas Gerais. Essa página parou de funcionar porque o serviço da Vivo que o alimentava entrou em manutenção.

O grupo que descobriu a falha é o mesmo que já havia revelado em outubro uma brecha no site do Detran do Rio Grande do Norte, que deixou expostas as informações pessoais de 70 milhões de pessoas, incluindo as de personalidades como o apresentador Luciano Huck e o youtuber Whindersson Nunes, e de pessoas influentes, como o presidente Jair Bolsonaro, e os empresários Eike Batista e Edir Macedo.

O Brasil já possui uma lei que obriga empresas a protegerem os dados pessoais de seus consumidores: a Lei Geral de Proteção de Dados Pessoais (LGPD). Ela só passa a valor em agosto de 2020. A partir desta data, companhias que não assegurarem a integridade das informações que armazenam poderão ser punidas por vazamentos como os da Vivo. As sanções variam de processos administrativos a multas que podem chegar a 2% do faturamento da infratora, limitada a R$ 50 milhões.

Ainda que a LGPD seja encarada por especialistas como um avanço, já há um projeto de lei pedindo que seus efeitos sejam prorrogados porque algumas companhias não conseguiriam se adaptar em tão pouco tempo. A LGPD foi sancionada pelo ex-presidente Michel Temer em dezembro de 2018.

Veja a nota da Vivo na íntegra:

A Vivo informa que, na noite de ontem, em pouco menos de três horas, a empresa identificou e neutralizou uma vulnerabilidade no acesso ao portal de serviços Meu Vivo, com o objetivo de garantir privacidade e a segurança das informações de seus clientes. A empresa informa ainda que o número de clientes possivelmente impactados por esta ação ilícita é consideravelmente menor do que o divulgado por alguns órgãos da imprensa especializada.

A Vivo lamenta o ocorrido e ressalta que revisa constantemente suas políticas e procedimentos de segurança, na busca permanente pelos mais rígidos controles nos acessos aos dados dos seus clientes e no combate a práticas que possam ameaçar a sua privacidade. A empresa reitera que respeita a privacidade e a transparência na relação com os seus clientes.

SIGA TILT NAS REDES SOCIAIS