Le portail My Vivo, qui vous permet d’accéder à des informations sur les forfaits de téléphone, de télévision et d’Internet, a subi une faille de sécurité qui a exposé les informations personnelles des clients, notamment leur nom complet, leur adresse, leur date de naissance, leur pièce d’identité, leur CPF, leur adresse électronique et leur numéro de téléphone portable. Selon certaines informations, 24 millions de personnes auraient été touchées, mais l’opérateur affirme que le nombre réel est “considérablement plus faible”.
“Vivo informe qu’hier soir, en un peu moins de trois heures, la société a identifié et neutralisé une vulnérabilité dans l’accès au portail de services Meu Vivo, dans le but de garantir la confidentialité et la sécurité des informations de ses clients”, a expliqué la société dans une déclaration à PerlmOl.
Les chercheurs en sécurité du groupe WhiteHat France disent à Olhar Digital qu’ils ont pu saisir les données des clients grâce au portail My Live. Selon eux, la faille était présente sur la page web il y a environ deux semaines. Ainsi, il a été possible de l’obtenir :
My Vivo a exposé des données à caractère personnel en raison de l’échec du jeton
Les chercheurs expliquent à UOL que l’échec se situait au niveau du jeton d’accès à My Live. Le fonctionnement est le suivant : chaque client est enregistré avec un numéro d’identification unique, indépendant de son CPF ou de son RG. Après avoir saisi votre nom d’utilisateur et votre mot de passe, le système a renvoyé une URL avec ce numéro d’identification et un jeton d’accès ? c’est-à-dire une séquence de caractères qui sert de clé pour libérer l’accès.
Le problème est que ce même jeton était utilisé pour accéder au profil de n’importe quel client ; il utilisait simplement l’URL avec un autre numéro d’identification. Les chercheurs ont testé des nombres séquentiels entre 1 milliard et 25 millions, et la technique a fonctionné “presque sans faille”.
A partir de là, il était possible de gratter des données : cela consiste à collecter des informations présentes sur une page web, ou échangées entre le serveur du site et votre ordinateur. C’est quelque chose de relativement simple à faire en Python ou en JavaScript, par exemple. Le résultat est enregistré dans un format structuré, tel qu’un tableur ou un fichier texte (JSON).
Selon les chercheurs, plus de 24 millions de personnes pourraient avoir été touchées par l’échec de My Live. L’opérateur indique cependant que “le nombre de clients susceptibles d’être touchés par cette action illicite est considérablement inférieur à ce qui a été rapporté par certaines agences de presse spécialisées”. Mais Vivo ne révèle pas de chiffres.
La loi générale sur la protection des données (LGPD) n’entrera en vigueur qu’en août 2020. Elle prévoit une amende équivalente à 2 % du chiffre d’affaires, dans la limite de 50 millions, pour les entreprises qui divulguent des données.
Mise à jour à 17h34
