Falha no site da Claro expõe dados de oito milhões de clientes

Por Felipe Demartini | 19 de Novembro de 2019 às 10h52
Divulgação

Uma brecha em uma página da Claro expôs os dados pessoais de oito milhões de pessoas, entre clientes e ex-clientes dos serviços da operadora. Dados pessoais como endereço, telefones, datas de nascimento, CPF, nome da mãe e número de dependentes estavam disponíveis em páginas públicas, que exigiam apenas manipulações na URL para serem acessadas.

A falha estava presente no site Minha Claro Residencial, que permite visualizar a conta e detalhes dos serviços adquiridos pelos clientes. O acesso exige login e senha, gerando um token de liberação; a falha acontecia pelo fato de este elemento não ser único. Com uma manipulação em uma sequência numérica na URL, que correspondia à identificação de cada usuário e estava ligada ao CPF, era possível acessar as informações de outras pessoas de forma não-autorizada.

A brecha foi descoberta pelos especialistas da Whitehat Brasil, que também já haviam relatado um problema semelhante nos sistemas da operadora Vivo. Não se sabe por quanto tempo a falha ficou disponível, mas os dados podiam ser acessados, pelo menos, até a última quinta-feira (14), quando a Claro resolveu a vulnerabilidade e deixou de permitir o acesso indiscriminado a contas a partir do serviço.

Em comunicado, a Claro afirmou ter corrigido a brecha no dia 14 de novembro, sem que nenhum prejuízo aos clientes expostos tenha sido identificado. Além disso, a companhia disse que investe constantemente em políticas e procedimentos de segurança, adotando medidas rígidas para evitar ações indevidas contra os usuários de seus serviços.

Aos usuários, a recomendação é de manter o olho vivo quanto à prática de golpes que utilizem os dados vazados. Criminosos podem tentar se passar por funcionários da própria Claro para solicitar informações adicionais, como números de cartão de crédito para a realização de fraudes, usando códigos de verificação e outros dados que estavam disponíveis nas contas dos clientes expostos.

Possíveis golpes também podem chegar por e-mail, enquanto o cruzamento desses dados com outros bancos de dados vazados pode levar a tentativas de invasão. O ideal é ficar atento a perfis em redes sociais e ligações ou mensagens suspeitas, evitando clicar em links ou entregar dados que sejam solicitados. Na dúvida, entre em contato com o atendimento do serviço para garantir a legitimidade dos pedidos.

Fonte: UOL

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.