Sistema no aplicativo de mensagens segue disponível para consultas e utiliza a API do SCPC para pesquisar o saldo devedor dos usuários que solicitam.
No dia de 19 de junho, o Minha Operadora recebeu uma denúncia anônima a respeito de um bot no Telegram que explorava uma falha de dados na API da Loja virtual da Vivo. Na ocasião, usuários conseguiam consultar dados de clientes e até mesmo contratar planos da operadora sem qualquer custo.
Tudo isso por meio de um grupo, que fazia as divulgações e direcionava os usuários para fazer as consultas e solicitações no bot.
Recentemente, no dia 12 de julho, o usuário que descobriu e explorou as falhas de segurança reativou o grupo. Foi feita uma melhor explicação sobre a possível correção aplicada pela Vivo, que será detalhada mais abaixo e também a disponibilização de um novo bot.
Dessa vez para consulta de dívidas na API do SCPC, Credor 19, Vivo. Os clientes precisam apenas enviar o número CPF e aguardar pela resposta.
Abaixo, um exemplo dos dados obtidos, liberados pelo dono do grupo.
VIU
ISSO?
–> Vivo
Fibra começa a vender pacotes com Netflix inclusa
–> Vivo
destaca ‘planos família’ para o Dia dos Pais
–> Vivo
abre processo seletivo para jovens talentos
O bot segue online para consultas e aparentemente não funciona após às 22h. Em mensagens, o dono do grupo explica que a “soma total” exibida nas primeiras consultas se refere a junção de todos os débitos que o cliente possui pendente.
A possível correção da Vivo
Sobre a falha de junho, encontrada na API da loja virtual da Vivo, foi explicado que o problema estava nos métodos placeOrder e validateToken, pois o primeiro não verificava as informações recebidas pelo segundo.
O método placeOrder permitia a contratação de um plano independente da verificação enviada via código por SMS.
Na época, a Vivo foi convidada pelo Minha Operadora para se pronunciar sobre a questão, mas não emitiu um posicionamento.
Sobre o atual vazamento, a prestadora novamente será convidada para ter um espaço onde possa emitir esclarecimentos, mas como a consulta é feita diretamente pela API do SCPC, entraremos em contato com a Assessoria de Imprensa do serviço também.
Se houver respostas, a matéria será atualizada.
