Dados de parte dos 21,8 milhões de usuários Oi foram expostos

Até o início desta semana, os dados confidenciais de parte dos 21,8 milhões de usuários de telefonia fixa da Oi, maior empresa brasileira de telecomunicações, estavam expostos na internet e passíveis de cópia por qualquer criminoso ou pessoa mal intencionada. Uma falha de segurança no site da companhia, apurada com exclusividade pelo Diario desde a última sexta-feira, permitia a qualquer cidadão com um moderado conhecimento de informática (noções de linguagem HTML usadas para montar as páginas eletrônicas) ver e gravar o nome, endereço, CPF e o número de telefone, entre outros detalhes, dos consumidores que tinham disponibilidade dos serviços de internet pela linha telefônica oferecidos pela companhia.

O erro no código-fonte do site, considerado gravíssimo e até mesmo amador pelos especialistas ouvidos pelo Informática, foi denunciado por um programador pernambucano, que preferiu não ter a identidade revelada. A falha foi encontrada nos formulários devenda dos planos Oi Velox e Oi Velox Ultra, disponíveis para diversos estados brasileiros, em evidência na semana passada depois da operadora ter anunciado serviços de ultravelocidade para a Região Metropolitana do Recife, com conexões de até 100 mega (contra o máximo de 1 mega, vendido anteriormente).

Pior: mesmo tendo sido informada pelo Diario sobre o erro no fim da tarde da própria sexta-feira, a empresa apenas retirou os formulários do ar na tarde da segunda-feira passada. Além disso, após diversos contatos com a assessoria de imprensa, a companhia limitou-se a responder: "A Oi não comenta aspectos da sua política de segurança para a área de tecnologia da informação".

"Numa escala de 0 a 10 no nível de segurança esperada por um sistema de internet, esse tipo de erro de programação, relacionado ao código-fonte das páginas, poderia ser considerado uma falha de nível zero. Isto é, o mais básico possível", explica o especialista em segurança Rômulo Cholewa. "A situação é grave porque nenhuma empresa poderiarepassar ou vazar dados sigilosos a respeito dos clientes, considerada uma prática ilegal", alega a presidente da Associação de Defesa da Cidadania e do Consumidor (Adecon), Rosana Grinberg.

Perigo - Na prática, mesmo parecendo informações simples, que muitos dos consumidores afetados repassariam em promoções de shopping center ou de postos de gasolina, em larga escala a falha pode ter colocado milhões de pessoas em risco. Do usuário mais experiente na internet até aqueles que nunca tenham sequer acessado a rede mundial de computadores. "Um programador, mesmo que iniciante, poderia desenvolver um software para testar todas as sequências de números de telefone possíveis e copiar o que estivesse acessível no servidor da Oi, vendendo isso depois no mercado cinza ou para uma concorrente", diz Evandro Curvelo, da Tempest, empresa pernambucana especializada em segurança.

"Estes dados podem servir como porta de entrada para que um criminoso descubra outras informações, seja procurando na própria internet ou se passando por um atendente da Oi e pedindo mais itens sigilosos para a vítima", alerta o delegado-adjunto da divisão de estelionato da Polícia Civil de Pernambuco, Jullyard Baquil.

Fonte