Claro a eu un problème de sécurité sur le site de Minha Claro Residencial, qui permet de voir la télévision payante et les services fixes à large bande fournis par NET. En utilisant le même jeton d’accès, il était possible de vérifier les inscriptions des autres clients, en révélant leur CPF, leur adresse et leur téléphone portable. L’opérateur dit que la panne a été réparée. Au début du mois, le portail Meu Vivo présentait une lacune similaire.
Les chercheurs de WhiteHat France expliquent à UOL qu’il était possible d’utiliser une URL modifiée pour consulter le profil de 8 millions de clients et d’anciens clients de Claro, y compris l’adresse, le numéro de téléphone, la date de naissance, le CPF, le nom de la mère et le nombre de personnes à charge.
Le site Minha Claro Residencial demande un login et un mot de passe pour libérer l’accès. Ensuite, le navigateur reçoit une URL avec deux données importantes : un numéro qui correspond à votre inscription chez Claro ; et un jeton, séquence de caractères qui doit être unique.
Le problème : ce jeton n’était pas unique. Les chercheurs ont pu l’utiliser pour accéder aux profils d’autres utilisateurs en changeant simplement le numéro d’enregistrement. Ils ont donc créé un site web pour démontrer la faille de sécurité, en affichant les données des clients actuels et anciens, qui ont déjà annulé le service.
La faute était présente jusqu’à jeudi dernier (14). L’opérateur déclare dans une déclaration que “le 14 novembre, il a rapidement identifié et corrigé la vulnérabilité possible de l’application Minha Claro Residencial et aucun dommage n’a été identifié pour les clients”.
My Vivo a permis l’accès aux données d’autres clients
Début novembre, une faille similaire a été découverte dans le portail Meu Vivo : il était possible de consulter le profil de plusieurs clients en réutilisant un jeton d’accès dans l’URL. Des données telles que le nom complet, l’identité, le CPF, l’adresse, l’e-mail et le numéro de téléphone étaient affichées. Vivo a corrigé le problème.
La loi générale sur la protection des données (LGPD) n’entrera en vigueur que l’année prochaine, en août 2020. Elle ne s’appliquera pas aux fuites survenues avant cette date.