Mercado fechado

Falha no site da Claro expõe dados de oito milhões de clientes

Felipe Demartini

Uma brecha em uma página da Claro expôs os dados pessoais de oito milhões de pessoas, entre clientes e ex-clientes dos serviços da operadora. Dados pessoais como endereço, telefones, datas de nascimento, CPF, nome da mãe e número de dependentes estavam disponíveis em páginas públicas, que exigiam apenas manipulações na URL para serem acessadas.

A falha estava presente no site Minha Claro Residencial, que permite visualizar a conta e detalhes dos serviços adquiridos pelos clientes. O acesso exige login e senha, gerando um token de liberação; a falha acontecia pelo fato de este elemento não ser único. Com uma manipulação em uma sequência numérica na URL, que correspondia à identificação de cada usuário e estava ligada ao CPF, era possível acessar as informações de outras pessoas de forma não-autorizada.

A brecha foi descoberta pelos especialistas da Whitehat Brasil, que também já haviam relatado um problema semelhante nos sistemas da operadora Vivo. Não se sabe por quanto tempo a falha ficou disponível, mas os dados podiam ser acessados, pelo menos, até a última quinta-feira (14), quando a Claro resolveu a vulnerabilidade e deixou de permitir o acesso indiscriminado a contas a partir do serviço.

Em comunicado, a Claro afirmou ter corrigido a brecha no dia 14 de novembro, sem que nenhum prejuízo aos clientes expostos tenha sido identificado. Além disso, a companhia disse que investe constantemente em políticas e procedimentos de segurança, adotando medidas rígidas para evitar ações indevidas contra os usuários de seus serviços.

Aos usuários, a recomendação é de manter o olho vivo quanto à prática de golpes que utilizem os dados vazados. Criminosos podem tentar se passar por funcionários da própria Claro para solicitar informações adicionais, como números de cartão de crédito para a realização de fraudes, usando códigos de verificação e outros dados que estavam disponíveis nas contas dos clientes expostos.

Possíveis golpes também podem chegar por e-mail, enquanto o cruzamento desses dados com outros bancos de dados vazados pode levar a tentativas de invasão. O ideal é ficar atento a perfis em redes sociais e ligações ou mensagens suspeitas, evitando clicar em links ou entregar dados que sejam solicitados. Na dúvida, entre em contato com o atendimento do serviço para garantir a legitimidade dos pedidos.

Fonte: Canaltech

Trending no Canaltech: