Por meio de um bot, usuários conseguiam até mesmo consultar se seus dados não estavam expostos na fragilidade apresentada pela operadora.
Nesta sexta-feira, 19 de junho, o Minha Operadora recebeu a denúncia de um consumidor da Vivo. Na ocasião, o cliente compartilhou um temor, pois encontrou seus dados expostos em uma falha de segurança da empresa.
De acordo com as informações recebidas, a fragilidade estava presente na API da loja online da prestadora. O usuário que descobriu criou um bot no Telegram para que todos os clientes pudessem consultar se seus dados estavam ou não expostos.
Para comprovar, uma pasta foi compartilhada com cerca de 3.111 arquivos na extensão “.json”, essas eram as respostas quando havia qualquer tipo de consulta na falha da Vivo.
O mesmo método utilizado para fazer a pesquisa servia também para contratar planos controle e pós-pago sem custo, mas, nessa parte, não é possível confirmar se eram pacotes vitalícios ou com um custo após um determinado período.
A Vivo fez uma manutenção na API no dia 27 de março e o método para consultar dados e contratar planos controle foi quebrado.
Entretanto, três meses depois, ainda havia um comando em funcionamento. A ativação de ofertas controle e pós-pagas ainda era viável, porém, menos acessível do que antes.
Em divulgação pública, o criador do bot no Telegram afirma que disponibilizou essa consulta após observar o descaso da Vivo, nas palavras dele, com outro vazamento de dados pessoais. Dessa vez no aplicativo Meu Vivo, uma falha que expôs 24 milhões de clientes.
No mês de janeiro, inclusive, a empresa foi acionada na Justiça por conta dessa falha. Os consumidores sequer foram informados
CONFIRA
TAMBÉM:
–> Falha
de segurança na Vivo expõe 24 milhões de usuários
–> Nova
falha continua a expor dados de usuários da Vivo
–> Falha
de segurança é encontrada em roteadores da Vivo
Quantos usuários souberam da possível falha?
Em estatísticas divulgadas, cerca de 5.800 consultas por número foram realizadas no bot que viabilizou a verificação para os usuários. Todas realizadas até 27 de março, quando houve a modificação.
Ao todo, 633 consumidores utilizaram o bot. No número, estão considerados também os que apenas iniciaram o contato e não prosseguiram.
E aqui, a informação que mais impressiona: 1.145 solicitações para contratação de planos de internet controle foram realizadas até a data da atualização.
Continuidade da falha
Já no dia 11 de junho, um script ainda contornava as limitações implementadas na API da loja online da Vivo, o que possibilitava a contratação de planos controle em linhas pré-pagas. Era viável realizar a ação em números ativados há menos de 90 dias, assim como em chips onde o CPF do titular não era o mesmo utilizado no pedido.
O aplicativo MEU VIVO também continuou com falhas, já que um script conseguiu realizar a contratação de pacotes adicionais até mesmo em linhas sem saldo de recarga.
A possibilidade era de 40 pacotes por vez, acima desse limite, o sistema acusava erro e era reiniciado, mas o usuário conseguia repetir o procedimento após 30/60 minutos.
Correção da Vivo
No dia 14 de junho, tudo indica que a operadora finalmente aplicou uma correção definitiva para acabar com a fragilidade de seu sistema, mas até a data supracitada era possível realizar a contratação de planos controle sem custo.
É importante ressaltar que as informações foram recebidas por meio de uma denúncia anônima e coletadas em um grupo, que fez todas essas divulgações no Telegram.
Em busca de esclarecimentos, o Minha Operadora entrou em contato com a assessoria de imprensa da Vivo. Se houver um posicionamento da operadora, com mais detalhes sobre a suposta falha e a confirmação de uma correção dela, o conteúdo passará por atualizações.