Realizando duas recargas de qualquer valor, usuário conseguia trocar minutos por mais de 1 Terabyte de internet. Falha foi exposta por youtuber.
Uma brecha na mecânica de troca de internet por minutos e minutos por internet do aplicativo Minha Oi possibilitou que clientes da operadora conseguissem mais de 1 Terabyte de dados móveis com recargas de pouco valor. A vulnerabilidade foi apresentada na internet pelo youtuber Rafle Francisco.
Segundo o youtuber, para conseguir ter acesso quase ilimitado à internet móvel da Oi, o chip deveria ser pré-pago, não possuir créditos válidos e realizar o cadastro na promoção Oi Livre de R$ 2,00 por dia pelo número *1954 (esta oferta não está mais disponível para contratação). Ele explica que conhece essa numeração porque já trabalhou como atendente de call center para a operadora.
Após a oferta Oi Livre de R$ 2,00 por dia ter sido ativada na linha, o cliente deveria efetuar uma recarga de qualquer valor. No tutorial, Francisco recarregou R$ 15 em uma linha de DDD 15 (Região de Sorocaba, SP). Nessa área local, a Oi disponibilizou 1,77 GB de internet na linha dele por causa da recarga com esse valor.
Na sequência, o youtuber abriu o aplicativo Minha Oi e converteu toda a franquia de internet em saldo de minutos. Após a conversão, o usuário ficou com 86.100 minutos para falar e 10MB de dados (que não puderam ser trocados).
Migração para o Oi Controle
Depois de a troca ter sido efetuada, Francisco foi na aba de promoções vigentes, ainda no aplicativo Minha Oi, e escolheu a oferta “Oi Controle“. Segundo ele, o usuário poderia escolher quaisquer uma das opções disponíveis. No vídeo, a oferta de R$ 54,90 por mês foi a eleita para ativação. Para finalizar, bastava escolher “Pagamento por boleto” como forma de quitação do plano (essa modalidade de pagamento não está mais disponível no app Minha Oi).
Nesse momento, um erro poderia aparecer, mas o youtuber disse que era normal. O usuário deveria dar sequência a adesão da oferta Oi Controle escolhida e, em “Identifique-se”, poderia informar qualquer número de CPF. Como o número do documento digitado por ele não era válido, o sistema apresentou a mensagem “Ocorreu um erro não esperado, por favor tente novamente”. Mesmo assim, a migração para o plano Oi Controle foi concluída com sucesso.
Retornando para o Pré-Pago
Depois de a oferta Oi Controle estar ativa na linha – em questão de poucos minutos -, era hora de voltar para o segmento pré-pago. No próprio aplicativo Minha Oi o cliente escolhia a oferta “Oi Livre” e seguia as instruções até a migração ter sido concluída. Uma nova recarga de qualquer valor deveria ser efetuada.
VIU ISSO?
–> Claro sofre fraude de R$ 2 milhões; polícia investiga o caso
–> Denúncia: Atendentes da Oi causaram prejuízo milionário à operadora
–> Aulas de como ter créditos e internet de graça se espalham pela rede
Após os créditos entrarem na linha, já depois de retornado para a oferta Oi Livre, o cliente precisava fazer o inverso do que havia realizado no começo do procedimento: trocar todos os minutos que acumulou na linha por internet. É nessa hora que a “mágica” acontece e o aplicativo já mostrava que o Oi Móvel dele estava com 1117,46 GB de franquia, o que equivale a mais de 1 Terabyte de dados.
Para se ter uma ideia, com essa quantidade de internet é possível passar 372 horas (mais de 15 dias consecutivos) assistindo filmes e séries na Netflix em alta-definição sem estourar o pacote.
Um dos vídeos, publicado em 28 de junho, chegou a sair do ar, mas retornou para o canal de Rafle Francisco no YouTube já informando no título que o bug não funciona mais. No momento da publicação deste artigo, o método havia tido 2.600 visualizações. Não se sabe, no entanto, quantas pessoas realizaram efetivamente o procedimento para inflar o pacote de internet móvel da Oi.
É importante deixar claro que a equipe do Minha Operadora já tinha conhecimento da fraude há algum tempo, porém, em consonância com os nossos princípios editoriais, decidimos apenas publicar os detalhes quando tivéssemos a certeza de que a vulnerabilidade não estaria mais exposta.
A operadora Oi não quis comentar.
