A operadora Vivo confirmou que o seu portal Meu Vivo contava com uma vulnerabilidade no acesso aos dados dos seus clientes. Especialistas de segurança afirmam que dados como nome completo, endereço, data de nascimento, RG, CPF, e-mail e número de celular de pelo menos 24 milhões de clientes foram vazados, mas a operadora se defende, afirmando que o número real de afetados é “consideravelmente menor”.
Em comunicado, a Vivo afirma que a vulnerabilidade foi identificada e neutralizada em pouco mais de três horas. A falha foi denunciada pelo time de especialistas em segurança da WhiteHat Brasil, que conseguiram capturar os dados dos clientes cadastrados no portal Meu Vivo, e que a brecha estava presente (e, consequentemente, os dados expostos) há pelo menos duas semanas.
Um token universal: uma péssima ideia
A falha estava no token de acesso ao Meu Vivo. Esse token é um código de identificação, com uma sequência de caracteres que atua como uma chave para liberar o acesso à página do cliente no Meu Vivo. Esse token trabalha vinculado ao CPF ou RG do cliente, que é considerado um número único de identificação geral.
O grande problema aqui é que o mesmo token servia para acessar o perfil de qualquer cliente no Meu Vivo. Em uma sequência entre 1 mil e 25 milhões, a técnica funcionou quase que de forma ininterrupta. Ou seja, esta é uma enorme brecha de segurança, e uma falha relativamente grave se considerarmos as consequências que o vazamento poderia produzir.
Dessa forma, qualquer atacante poderia coletar as informações do cliente presentes na página, ou que são trocadas entre o servidor do site e o computador que acessa os dados.
Os pesquisadores afirmam que mais de 24 milhões de pessoas podem ter sido afetadas pela falha. A Vivo afirma que o número é consideravelmente menor que o divulgado, mas não revela os seus números oficiais.
Em resumo: muito cuidado com os dados que você inclui na internet, pois estamos cada vez mais vulneráveis e suscetíveis a ataques cibernéticos. E é por causa de brechas como essa que nós insistimos tanto para você usar senhas diferentes para diferentes serviços.
Sem falar que uma brecha como essa pode permitir que criminosos utilizem nossos dados para atividades ilícitas, como abertura de contas clandestinas e outros tipos de fraudes.
Via Olhar Digital, UOL, Tecnoblog