bit.ly/35FtLw1 | A Vivo foi acionada na Justiça por causa de uma falha que expôs dados pessoais de clientes no portal Meu Vivo, incluindo nome, endereço completo, data de nascimento, RG, CPF e e-mail. O processo foi aberto pelo coletivo Intervozes, que acusa a operadora de "descaso" e "negligência".

Esta semana, o Intervozes anunciou que protocolou em 19 de dezembro de 2019 uma Ação de Produção Antecipada de Provas na Justiça Estadual de São Paulo contra a Telefônica/Vivo. O objetivo é investigar a exposição de dados pessoais de até 24 milhões de seus clientes. Em comunicado ao Teletime, a empresa diz apenas que não comenta ações judiciais em andamento.

“A operadora parece não ter tomado atitudes proporcionais diante da informação de vulnerabilidade em seu sistema", diz Marina Pita, coordenadora executiva do Intervozes, em comunicado. "Este descaso não deve ser tolerado, motivo pelo qual estamos solicitando produção antecipada de provas."

A ação judicial faz as seguintes exigências para a Vivo:

• informar se a falha de segurança no portal Meu Vivo resultou em exposição de dados dos clientes;
• especificar quantos consumidores foram afetados, identificá-los e avisá-los;
• explicar detalhadamente a extensão da falha de segurança descoberta;
• fornecer publicamente as informações relativas ao bug, para que os clientes da Vivo possam "estimar o tamanho da ameaça à segurança representada pela negligência da empresa".

Meu Vivo expôs dados pessoais devido a falha em token

A falha no Meu Vivo foi revelada em novembro de 2019. Segundo pesquisadores de segurança do grupo WhiteHat Brasil, o bug ficou no ar por duas semanas: eles usaram uma técnica chamada "raspagem de dados" para capturar nome, endereço, RG, CPF, e-mail e número de telefone dos clientes.

Basicamente, o problema estava no token de acesso: depois que você insere seu login e senha, o Meu Vivo informa ao navegador uma sequência de caracteres que serve como chave para liberar o uso do portal. No entanto, o mesmo token podia ser usado para ver o perfil de qualquer cliente.

Os pesquisadores afirmam que a falha afetou 24 milhões de usuários da Vivo. Ela rebateu dizendo que "o número de clientes possivelmente impactados por esta ação ilícita é consideravelmente menor do que o divulgado", mas não informou os números corretos. A operadora foi notificada pela Anatel e pelo Procon-SP para prestar explicações.

O Intervozes lembra que a Vivo também não ofereceu nenhuma ferramenta para os clientes saberem se seus dados foram expostos, nem notificou os usuários que possam ter sido afetados. A entidade afirma que a exposição de dados pessoais é uma "flagrante ofensa a disposições do Código de Defesa do Consumidor, da Constituição Federal, do Marco Civil da Internet e da Lei Geral de Proteção de Dados".

Felipe Ventura
Fonte: tecnoblog.net