Há quem diga que um raio não cai duas vezes no mesmo lugar. Desta vez, caiu! Na segunda-feira, o Olhar Digital reportou em primeira mão uma falha de segurança no portal de serviços da Vivo que deixava expostos os dados de 24 milhões de assinantes. O problema foi descoberto e identificado pelo grupo de pesquisadores “WhiteHat Brasil”. No dia seguinte, a própria Vivo reconheceu a falha e anunciou que havia resolvido uma vulnerabilidade grave na plataforma de serviços Meu Vivo. Mas, ao que tudo indica, a Vivo fechou uma porta, mas esqueceu outra aberta. 

Uma nova denúncia anônima feita mais uma vez com exclusividade ao Olhar Digital mostra que os dados dos clientes de uma das maiores operadoras do país continuam desprotegidos e abertos para que qualquer pessoa tenha acesso livremente. A falha está na API do serviço Meu Vivo Fixo. Segundo o pesquisador que encontrou a nova brecha, essa API é “basicamente um banco de dados que retorna as informações dos usuários cadastrados no site da operadora”.

A grave vulnerabilidade foi descoberta há mais de um mês. Pior é que também há mais de 30 dias, o usuário que encontrou o problema enviou um e-mail bastante detalhado explicando tudo o que havia feito e alertando a Vivo sobre a falha. A princípio, foi ignorado. O pesquisador insistiu e entrou em contato novamente. A resposta da Vivo foi a seguinte: “Estamos atentos a este caso e à sua sugestão, temos uma previsão de atualização do aplicativo que seja mais amigável com uma navegação mais intuitiva para sua melhor experiência com o app”.

Ou seja, a Vivo – supostamente já ciente do problema – ignorou o alerta e deu uma resposta “padrão” ao usuário. De qualquer forma, nada foi feito ainda. Hoje, quinta-feira (7) o problema persiste na plataforma e todos os clientes da Vivo cadastrados no “Meu Vivo Fixo” continuam com suas informações pessoais vulneráveis e abertas. Com a ajuda do grupo “WhiteHat Brasil”, durante toda a manhã desta quinta-feira (7), vários testes foram feitos para comprovar que a questão ainda não foi resolvida.

Uma vez logado no portal Meu Vivo, com acesso a um link simples e um gerador de CPF, é possível puxar informações pessoais sensíveis como telefone, e-mail, endereço, número do telefone, detalhes do plano, faturas e até informações bancárias daqueles que possuem o pagamento do plano em débito automático.

Reprodução

O denunciante ainda informou que basta ter uma informação para descobrir todas as outras; seja CPF ou e-mail. E para piorar a situação, mesmo sem estar logado no portal Meu Vivo, apenas a partir de uma informação é possível alterar os dados de login e senha de qualquer assinante. Assim, por exemplo, um criminoso qualquer pode alterar o endereço de entrega da fatura ou usar as informações pessoais do assinante para elaborar uma fraude. Com uma fatura em mãos, ou mesmo uma segunda via online, é possível obter de forma ainda mais fácil e até organizada todas os dados pessoais de qualquer usuário. O que é bastante grave.

Reprodução

Curiosamente, na última madrugada, um outro leitor do Olhar Digital, indignado com o caso do vazamento de dados de 24 milhões de usuários reportado na segunda-feira (4), enviou um e-mail à redação informando que seus dados são constantemente modificados “sem autorização” no cadastro da Vivo. Ainda mais curioso é que este leitor não foi o único que reportou o mesmo tipo de problema.

Novo posicionamento da Vivo

Em nota ao Olhar Digital, a Vivo informou que “segue eliminando vulnerabilidades em seu sistema para garantir a proteção e a privacidade dos dados de seus clientes e coibir eventuais ações ilícitas. A empresa está investigando a conduta ilegal dos acessos ao seu sistema e tomando as medidas jurídicas e técnicas cabíveis“.