Falha da Vivo expõe dados de 24 milhões de clientes

Uma falha no site da Vivo expôs informações de 24 milhões de clientes da empresa.

Entre os dados expostos estavam CPF, endereço, número do celular e data de nascimento.

A falha foi descoberta pelo grupo de segurança Whitehat Brasil e comunicada à Vivo, que corrigiu o problema.

Erro “tosco”

Um dos integrantes do Whitehat Brasil classificou a falha como “tosca”.

Para descobrir a falha, o pesquisador usou um programa que registra os dados enviados a um servidor e aqueles que são mandados de volta.

Após inserir login e senha no site da Vivo, ele recebeu uma URL, que correspondia ao endereço do seu perfil na Vivo, e um “token”, uma sequência de números que serve como chave segura e deveria ser única. O problema foi que esse token não era único.

Bastava trocar o último número da URL e usar o mesmo token para ter acesso à conta de outro cliente. O pesquisador conta que isso funcionou quase que ininterruptamente entre os números 1 mil e 25 milhões.

Vale observar que, de acordo com a nova Lei Geral de Proteção de Dados Pessoais (LGPD), companhias que não assegurarem a integridade de dados de seus clientes poderão ser punidas.

Só que a lei só entra em vigor em agosto do ano que vem e já há planos para adiar ainda mais esse prazo. Quem defende o adiamento argumenta que muitas empresas não conseguirão atender os requisitos da nova lei até o prazo estipulado.