Topo

Brecha em site da Claro deixou expostos os dados de 8 milhões de pessoas

Falha no site da Claro deixava caminho aberto para acessar dados de milhões de pessoas - Estúdio Rebimboca/UOL
Falha no site da Claro deixava caminho aberto para acessar dados de milhões de pessoas Imagem: Estúdio Rebimboca/UOL

Helton Simões Gomes

De Tilt, em São Paulo

18/11/2019 16h48Atualizada em 19/11/2019 15h38

Sem tempo, irmão

  • Pesquisadores acharam falha no site da Claro que expôs 8 milhões de pessoas
  • Já fora do ar, ela permitia ver dados tanto de clientes quanto de ex-clientes
  • Bastava mudar os últimos números da URL mostrada pela operadora
  • Falha dava acesso a dados pessoais e até endereço residencial de vítimas

Uma falha no site da empresa de telecomunicação Claro expôs as informações pessoais de pelo menos 8 milhões de pessoas, entre clientes e ex-clientes. O problema foi descoberto pelo grupo de pesquisadores de segurança Whitehat Brasil, que busca identificar brechas em plataformas que dispõem de grandes bases de dados e já havia identificado uma falha similar em uma página da Vivo.

A brecha de segurança que expunha milhões de brasileiros estava presente na página "Minha Claro Residencial". É por meio dela que clientes acessam sua conta e podem ver detalhes dos serviços prestados pela empresa —internet, telefonia fixa, celular ou TV paga.

Até então, era possível consultar todo o perfil de clientes e ex-clientes da Claro apenas mudando alguns caracteres na URL de acesso. Assim, era possível obter as seguintes informações de clientes da Claro:

  • Endereço
  • Telefone e celular
  • Data de nascimento
  • CPF
  • Nome da mãe
  • Número de dependentes

A falha esteve ativa até quinta-feira (14). Tilt conversou com um dos pesquisadores da Whitehat Brasil, que preferiu não se identificar.

Após a publicação da reportagem, a Claro informou em nota que "identificou e corrigiu rapidamente, no dia 14 de novembro, a eventual vulnerabilidade na aplicação Minha Claro Residencial e não foi identificado nenhum prejuízo aos clientes". Além disso, a empresa diz "investir constantemente em políticas e procedimentos de segurança, adotando medidas rígidas para evitar ações indevidas contra seus clientes".

Como funciona?

O pesquisador usa um programa que registra os dados enviados a um servidor e aqueles que são mandados de volta. Após inserir login e senha no site da Claro, ele recebeu uma URL, que correspondia ao endereço do seu perfil na Claro, e um "token", uma sequência de números que serve como chave segura e deveria ser única.

O problema foi que esse token não era único. Para ter acesso à conta de outra pessoa, bastava trocar os últimos números da URL, que representavam o CPF dos clientes, e usar o mesmo token.

Para mostrar que a falha estava ativa, o programa criou um site, que mostrava os dados capturados. Tilt viu as informações de 14 dos perfis expostos. Havia tanto clientes antigos da Claro, que haviam cancelado o serviço, quanto consumidores ativos.

O grupo que descobriu a falha é o mesmo que já havia revelado em outubro uma brecha no site do Detran do Rio Grande do Norte, que deixou expostas as informações pessoais de 70 milhões de pessoas, incluindo as de personalidades como o apresentador Luciano Huck e o youtuber Whindersson Nunes, e de pessoas influentes, como o presidente Jair Bolsonaro, e os empresários Eike Batista e Edir Macedo.

O Brasil já possui uma lei que obriga empresas a protegerem os dados pessoais de seus consumidores: a Lei Geral de Proteção de Dados Pessoais (LGPD). Ela só passa a valer em agosto de 2020. A partir desta data, companhias que não protegerem os dados que armazenam poderão ser punidas por vazamentos. As sanções variam de processos administrativos a multas que podem chegar a 2% do faturamento da infratora, limitada a R$ 50 milhões.

Ainda que a LGPD seja encarada por especialistas como um avanço, já há um projeto de lei pedindo que seus efeitos sejam prorrogados porque algumas companhias não conseguiriam se adaptar em tão pouco tempo. A LGPD foi sancionada pelo ex-presidente Michel Temer em dezembro de 2018.

SIGA TILT NAS REDES SOCIAIS

Errata: o texto foi atualizado
Diferentemente do informado no texto, a operadora destacada no intertítulo "Como funciona" foi a Vivo. No entanto, a empresa envolvida no problema foi Claro. O erro foi corrigido.

Segurança