Na última semana, o Olhar Digital publicou uma falha no portal Meu Vivo que pode ter exposto dados de mais de 24 milhões de pessoas ou empresas. A amostra, fornecida pelo WhiteHat Brasil, continha informações como nome completo, endereço, data de nascimento, RG, CPF, e-mail, nome da mãe e número de telefone.
À publicação, o grupo explicou que a técnica conhecida por “rapagem de dados” foi utilizada para acessar tais informações. Burlando a criação de tokens com um software que o grupo identificou a falha.
A operadora enviou a seguinte nota ao IT Forum 365:
“A Vivo informa que segue eliminando vulnerabilidades em seu sistema para garantir a proteção e a privacidade dos dados de seus clientes e coibir eventuais ações ilícitas. A empresa está investigando a conduta ilegal dos acessos ao seu sistema e tomando as medidas jurídicas e técnicas cabíveis.“
Não foi confirmado o número exato de usuários e/ou empresas afetados pela falha. Anteriormente, sem dar detalhes, a empresa havia citado que o número de clientes afetados “é consideravelmente menor do que o divulgado por alguns órgãos da imprensa especializada”.
Posteriormente, Procon e Agência Nacional de Telecomunicações (Anatel) cobraram esclarecimentos à Telefônica, que controla a Vivo. O prazo para as respostas é de 15 dias. Com base no Código de Defesa do Consumidor (CDC), o Procon cita que a operadora pode ser multada em até R$ 10 milhões pelo vazamento.
“O problema que aconteceu pode ocorrer com qualquer operadora porque é vinculado a área de marketing”, afirmou Bruno Prado, CEO da UPX, empresa de tecnologia focada em segurança cibernética. A operadora não confirma diretamente o motivo da falha.
Prado explica que a área “normalmente vincula o site através de API” e faz a integração com uma plataforma comercial (CRM). “O site gera leads para a operadora e ela compartilha essas informações para um gerenciador de dados comerciais”, disse.
A exposição de dados inclui tanto clientes quanto interessados em assinar algum serviço. “São dados cadastrados, não necessariamente de clientes. Essa base é que foi exposta no caso da Vivo”, afirma.
“Houve uma falha, não se checou e acabou ficando em aberto. Isso pode acontecer com qualquer empresa. Nem sempre a falha está diretamente no banco de dados, mas no site integrado com o gerenciador de leads, como foi o caso.”
Com base na Lei Geral de Proteção de Dados (LGPD), a Vivo poderia ser multada em até R$ 50 milhões (ou até 2% do faturamento). Além disso, a Autoridade Nacional de Proteção de Dados (ANPD) poderia restringir o uso de uma base de dados à empresa.
Prado explica, ainda, que processos de integração entre plataformas e bancos de dados precisam “passar por diligência de algum profissional especialista da informação”. A medida visa evitar problemas de integração e exposição a usuários não autorizados.
“Não se aplica apenas a esse caso da Vivo: qualquer caso que leve a integração de banco de dados exige análise de área de segurança ou consultoria especializada.”
Não ficou claro, neste momento, quem de fato teve acesso ao banco de dados exposto. Mas, na mão de usuários mal-intencionados, isso pode se converter em grana fácil.
Os dados vazados podem ser utilizados “para cometer fraudes utilizando o nome da pessoa […], fraude bancária […] e até mesmo uma compra numa rede de lojas”, diz Prado.
Ele explica que fraudes do tipo normalmente utilizam informações como nome, endereço, CPF e RG. “De posse desses dados, a pessoa já consegue cometer um estrago gigante”, afirmou.
O mais preocupante, como cita o executivo da UPX, são golpes de engenharia social. Ele diz que um cibercriminoso pode “aproveitar” a Black Friday para fazer compras utilizando dados de um indivíduo e indicar um endereço laranja. “E esse tipo de caso é mais comum do que se pode imaginar.”
Segundo Prado, um levantamento da UPX apontou que existem mais de 150 grupos no WhatsApp “voltados para uso ou comercialização de informações de terceiros”.
Com informações: Olhar Digital.
