Un recours en justice a été introduit en raison d’un manquement qui a exposé les données personnelles des clients du portail Meu Vivo, notamment le nom, l’adresse complète, la date de naissance, le RG, le CPF et le courriel. Le procès a été ouvert par le collectif Intervozes, qui accuse l’opérateur de “négligence” et d'”imprudence”.
Cette semaine, Intervozes a annoncé que le 19 décembre 2019, elle a déposé une plainte pour production de preuve anticipée devant la Cour de l’État de Paris contre Telefónica/Vivo. L’objectif est d’étudier l’exposition des données personnelles de 24 millions de ses clients. Dans une déclaration à Teletime, la société dit seulement qu’elle ne commente pas les procès en cours.
L’opérateur ne semble pas avoir adopté une attitude proportionnelle à l’égard des informations de vulnérabilité de son système”, déclare Marina Pita, coordinatrice exécutive d’Intervozes, dans une déclaration. “Cette négligence ne doit pas être tolérée, c’est pourquoi nous demandons la production rapide de preuves”.
La poursuite judiciaire impose les conditions suivantes pour Vivo :
My Vivo a exposé des données à caractère personnel en raison de l’échec du jeton
L’échec de My Live a été révélé en novembre 2019. Selon les chercheurs en sécurité du groupe WhiteHat France, le mouchard a été à l’antenne pendant deux semaines : ils ont utilisé une technique appelée “data scraping” pour capturer le nom, l’adresse, l’ID, le CPF, l’email et le numéro de téléphone des clients.
En fait, le problème se situait au niveau du jeton d’accès : après avoir saisi votre login et votre mot de passe, My Live informe le navigateur d’une chaîne de caractères qui sert de clé pour libérer l’utilisation du portail. Toutefois, le même jeton pourrait être utilisé pour consulter le profil de n’importe quel client.
Les chercheurs affirment que l’échec a touché 24 millions d’utilisateurs de Vivo. Elle a répondu en disant que “le nombre de clients susceptibles d’être touchés par cette action illicite est considérablement plus faible que ce qui a été rapporté”, mais n’a pas donné les chiffres exacts. L’opérateur a été notifié par Orange et Procon-SP pour fournir des explications.
Intervozes rappelle que Vivo ne proposait pas non plus d’outil permettant aux clients de savoir si leurs données étaient exposées, ni d’informer les utilisateurs qui auraient pu être touchés. L’entité déclare que l’exposition de données personnelles est une “infraction flagrante aux dispositions du Code de la protection des consommateurs, de la Constitution fédérale, du cadre civil Internet et de la loi générale sur la protection des données”.
