Brecha de segurança no site Meu Vivo expôs dados de 24 milhões de clientes

Uma falha presente no portal de serviços Meu Vivo permitia que, ao utilizar um software, qualquer pessoa tivesse acesso aos dados cadastrados por usuários — até o momento, 24 milhões.

A brecha, divulgada primeiramente pelo Olhar Digital, foi descoberta pelo grupo de pesquisadores “WhiteHat Brasil” há cerca de duas semanas. De acordo com o grupo, a técnica utilizada para capturar as informações é conhecida como raspagem de dados, em que permite gravar parte do código e enviar informações e respostas.

No processo de geração de cadastro, o sistema gera um código de identificação conhecido como “token”, que é uma sequência de números. O que aconteceu é que, no Meu Vivo, a prefixo dos números era exatamente igual em todos as contas: bastava trocar o final que era possível acessar o próximo cadastro.

Em entrevista ao UOL, os pesquisadores testaram sequências entre 1 mil e 25 milhões, tendo sucesso “quase que ininterruptamente”. No teste realizado pelo ‘WhiteHat’, foi possível coletar dados como nome completo, endereço, data de nascimento, RG, CPF, e-mail, nome da mãe e mesmo telefone.

Em nota, a operadora Vivo informou que “lamenta o ocorrido e ressalta que revisa constantemente suas políticas e procedimentos de segurança, na busca permanente pelos mais rígidos controles nos acessos aos dados dos seus clientes e no combate a práticas que possam ameaçar a sua privacidade. A empresa reitera que respeita a privacidade e a transparência na relação com os seus clientes.”

Prevista para entrar em vigor em agosto de 2020, a Lei Geral de Proteção de Dados (LGPD) prevê punições para a exposição de dados pessoais de clientes. De acordo com o artigo 52 da legislação, as empresas infratoras em vazamentos podem sofrer penalidades como multa de correspondente a 2% do faturamento, com teto em R$ 50 milhões.