22/12/2024

EXCLUSIVO: Bot no Telegram expõe clientes endividados com a Vivo

Sistema no aplicativo de mensagens segue disponível para consultas e utiliza a API do SCPC para pesquisar o saldo devedor dos usuários que solicitam.

Ilustração - Vazamento de Dados
Imagem: Flickr

No dia de 19 de junho, o Minha Operadora recebeu uma denúncia anônima a respeito de um bot no Telegram que explorava uma falha de dados na API da Loja virtual da Vivo. Na ocasião, usuários conseguiam consultar dados de clientes e até mesmo contratar planos da operadora sem qualquer custo.

Tudo isso por meio de um grupo, que fazia as divulgações e direcionava os usuários para fazer as consultas e solicitações no bot.

Recentemente, no dia 12 de julho, o usuário que descobriu e explorou as falhas de segurança reativou o grupo. Foi feita uma melhor explicação sobre a possível correção aplicada pela Vivo, que será detalhada mais abaixo e também a disponibilização de um novo bot.

Dessa vez para consulta de dívidas na API do SCPC, Credor 19, Vivo. Os clientes precisam apenas enviar o número CPF e aguardar pela resposta.

Abaixo, um exemplo dos dados obtidos, liberados pelo dono do grupo.

Vazamento de dados - Telegram
Dados obtidos no Telegram

VIU ISSO?

–> Vivo Fibra começa a vender pacotes com Netflix inclusa

–> Vivo destaca ‘planos família’ para o Dia dos Pais

–> Vivo abre processo seletivo para jovens talentos

O bot segue online para consultas e aparentemente não funciona após às 22h. Em mensagens, o dono do grupo explica que a “soma total” exibida nas primeiras consultas se refere a junção de todos os débitos que o cliente possui pendente.

A possível correção da Vivo

Sobre a falha de junho, encontrada na API da loja virtual da Vivo, foi explicado que o problema estava nos métodos placeOrder e validateToken, pois o primeiro não verificava as informações recebidas pelo segundo.

O método placeOrder permitia a contratação de um plano independente da verificação enviada via código por SMS.

Na época, a Vivo foi convidada pelo Minha Operadora para se pronunciar sobre a questão, mas não emitiu um posicionamento.

Sobre o atual vazamento, a prestadora novamente será convidada para ter um espaço onde possa emitir esclarecimentos, mas como a consulta é feita diretamente pela API do SCPC, entraremos em contato com a Assessoria de Imprensa do serviço também.

Se houver respostas, a matéria será atualizada.

Se inscrever
Notificar de
guest
0 Comentários
Mais antigo
Mais recente Mais Votados
Feedbacks embutidos
Ver todos os comentários