Amazon é acusada de entregar dados de clientes em golpe de engenharia social

Por Redação | em 26.01.2016 às 08h13

amazon

A engenharia social é um dos métodos mais antigos de roubo de informações, existindo desde antes dos computadores, redes sociais e sistemas online. Aparentemente, ela continua sendo uma alternativa bastante eficaz, como mostra uma acusação feita pelo engenheiro de software Eric Springer contra a Amazon. Ele alega ter sido vítima de ataques desse tipo três vezes e, em todas, viu seus dados sendo passados indiscriminadamente por atendentes de suporte técnico.

O especialista não sabe quem está por trás do golpe, mas sabe no que ele está de olho: suas informações bancárias. Em um dos casos, o criminoso teria conseguido pedir uma segunda via de seu cartão de crédito, e em outro, acredita que o responsável obteve os quatro últimos números de um novo plástico, solicitado após o cancelamento do anterior, além de sua data de validade.

O hacker também possuía outros dados de Springer, como seu nome completo e um endereço falso, utilizado pelo engenheiro para cadastro de domínios justamente por saber que esse tipo de dado poderia ser usado em ataques desse tipo. A medida, entretanto, não adiantou muita coisa, já que mesmo assim o criminoso foi capaz de obter o número de telefone e também o endereço real do especialista, ao pedir informações sobre seu último pedido realizado na Amazon. 

Além disso, o que chamou a atenção de Springer foi o despreparo dos atendentes durante todo o processo e também o descaso da própria Amazon, que não foi capaz de adicionar uma nota à conta, informando que ela poderia ser vítima de engenharia social. Por isso mesmo, ele afirma estar cancelando sua conta com a loja online e procurando outros serviços, mas não sem antes dar algumas dicas que poderiam ter evitado todo o problema.

A principal delas parece ser a mais óbvia: deixe claro para os atendentes que nem sempre as pessoas que estão online são quem elas dizem ser. A criação de políticas de segurança que permitam a entrega de dados somente quando o usuário estiver logado pode ser outra boa alternativa, uma vez que, caso a conta tenha sido comprometida de tal maneira, o hacker nem mesmo precisaria contatar o suporte para conseguir tais informações. Por último, sistemas de localização por IP também podem ser um bom caminho para descobrir se a identidade alegada é real.

Por enquanto, a Amazon não se pronunciou sobre o caso. Na área de comentários do post de Springer no Medium, outros clientes da loja afirmaram ter passado pela mesma coisa, com resultados semelhantes, além de terem passado por experiências com os atendentes utilizando engenharia social, recebendo as próprias informações como resposta.

Fonte: Eric Springer (Medium)

Assine nosso canal e saiba mais sobre tecnologia!
Leia a Seguir

Comentários

Newsletter Canaltech

Receba nossas notícias por e-mail e fique
por dentro do mundo da tecnologia!

Baixe já nosso app Fechar