[ERRATA] Brecha de segurança? Fomos vítimas de golpe no Mercado Pago

Por Luciana Zaramela | 27 de Maio de 2019 às 17h20
Tudo sobre

Mercado Livre

Saiba tudo sobre Mercado Livre

Ver mais

Se você acompanhou o Canaltech na última semana, provavelmente leu a matéria em que relatamos um caso de uma possível brecha no Mercado Pago, que ocasionou o bloqueio da conta no Mercado Livre de um dos nossos colaboradores e um débito no valor de três parcelas de R$ 30 em um suposto cartão fantasma.

Nós erramos, e por isso, decidimos suspender a matéria até averiguarmos a falha. Por uma grande coincidência de datas, valores e origem da cobrança, o colaborador do Canaltech verificou detalhadamente seus débitos em todos os cartões e concluiu que, no mesmo dia, havia uma taxa do Mercado Livre no mesmo valor da que estava na tentativa de golpe. Portanto, não houve cobrança em outro cartão por parte do golpista.

No entanto, todo o restante do relato ocorreu. Cibercriminosos geraram uma compra via Mercado Pago usando o email do nosso colaborador, que por sua vez abriu chamado na plataforma e se recusou a pagar. A partir daí, a conta foi bloqueada.

Após a veiculação da matéria, assessoria de imprensa do Mercado Livre prontamente se posicionou, resultando na resolução do caso, pedindo desculpas pelo ocorrido, mas informando que o sistema do Mercado Pago está livre de brechas ou falhas em sua API.

Leia matéria original na íntegra:

Que atire a primeira pedra quem não conhece ou nunca foi vítima de algum tipo de golpe na internet. Na era da tecnologia, o que não faltam são oportunistas tentando tirar proveito de situações que envolvem dinheiro, seja no mundo físico, seja no digital. E com tanta informação bombando na modernidade, as hordas de cibercriminosos não param de se multiplicar e mirar em alvos que envolvem transações financeiras para, de alguma maneira, conseguirem dinheiro.

Foi o que aconteceu com o Canaltech. Um de nossos colaboradores teve uma experiência um tanto desagradável com o Mercado Pago, a plataforma de pagamento digital do famoso site de compra e venda Mercado Livre. Vamos detalhar a história por partes para conscientizar nossos leitores e expor uma possível brecha ou falha no sistema da plataforma — a qual usamos há mais de quinze anos.

Parte 1: o golpe na madrugada

Em abril passado, uma email suspeito chegou em nossa caixa de entrada alegando ter sido feita uma compra no Mercado Livre via Mercado Pago no valor de três parcelas de R$ 30, pouco depois de 1h da manhã. Abrimos a mensagem, e como não reconhecemos a compra, decidimos alterar a senha, cancelar e abrir uma reclamação para cancelar a transação.

Como se tudo não fosse estranho o suficiente, a tal compra fantasma foi realizada com um suposto cartão Visa de final 1304, que nunca foi de posse do nosso usuário no Mercado Livre ou Mercado Pago, muito menos vinculado à nossa conta. Acontece que o tal valor foi cobrado mesmo assim, porém em outro cartão — este sim vinculado à conta do Mercado Pago — e já está em débito na segunda parcela via cartão de crédito "oficial". A primeira foi cobrada dia 10 de março.

O vendedor golpista também tem dados suspeitos. Segundo o email que recebemos de madrugada, ele se cadastrou com o nickname Gg, usando um email completamente suspeito e não-reconhecido por nós aqui do CT.

Cobrou sem consentimento? É golpe!

Parte 2: a conversa com o Mercado Pago

O que um consumidor faz quando se sente lesado? Procura a empresa envolvida no processo, certo? Foi o que fizemos. Entramos em contato por mensagens com o Mercado Pago, expusemos a desagradabilíssima situação e, para nossa surpresa, o atendente disse que estava fazendo o que manda o protocolo da empresa, mas que, nesse caso, teríamos de contatar o vendedor para resolver ou cancelar a compra. Mas que vendedor, se ele nunca existiu de fato? O atendente disse o seguinte:

Sinto muito que o vendedor a quem você enviou dinheiro via Mercado Pago não tenha dado informações sobre o envio do produto que foi negociado entre vocês. 

Que produto, senhor atendente? Não houve compra autorizada de produto algum!

Prossigamos.

Na mesma conversa, o atendente provavelmente não entendeu ou não deu crédito à veracidade da nossa informação e insistiu que nós enviamos dinheiro consentidamente usando a plataforma Mercado Pago. Nunca enviamos esse valor, muito menos ao usuário Gg. Mas, para o MP, a recomendação cabal é de que entremos em contato com o vendedor (fantasma) para resolver o problema. Como?

De mãos e pés atados e sem conseguir provar para o e-commerce que não enviamos dinheiro, não temos cartão com final 1304 e recebemos débitos indevidos em nossa conta, seguimos com nosso problema não-resolvido, com o agravante de as três parcelas estarem sendo continuamente debitadas em valores de R$ 30. A venda é de mentira, mas o dinheiro é de verdade.

Abaixo, você lê, na íntegra, o conteúdo das mensagens trocadas com o atendente do Mercado Pago.

Muito barulho por nada

Parte 3: onde está a brecha?

Uma coisa é certa: onde há golpe, há brecha. Resolvemos publicar esse relato para, além de expor o caso, tornar público o fato de que provavelmente existe uma falha grave na plataforma do Mercado Pago. Daí surgem algumas hipóteses: seria alguma vulnerabilidade na API da plataforma? Os cibercriminosos usaram um cartão XPTO para realizar a venda, e como esse cartão fantasma falhou, o Mercado Livre acabou cobrando de outro cartão vinculado à conta do nosso usuário, e funcional. Poderia ter sido uma invasão usando nossa senha, através de um possível vazamento anterior — o que seria ainda menos provável, já que usamos todas as etapas de segurança disponíveis e senhas aleatórias. Ou talvez um erro sistêmico do Mercado Pago, que colocou para nós uma cobrança que deveria ser direcionada a outra pessoa. Ou, quem sabe, ainda seria uma nova técnica de phishing, envolvendo nosso usuário no ML?

O grande erro é uma pessoa desconhecida ter nos enviado uma cobrança jamais solicitada e nós termos ficado sem poder de escolha. Fomos obrigados a pagar, obviamente.

Parte 4: além de lesados, fomos bloqueados

Sabe o que acontece com um mau pagador no Mercado Livre, além de receber qualificações negativas? Ele tem sua conta suspensa ou bloqueada na plataforma, ficando impossibilitado de efetuar transações, comprar ou vender. Somos usuários do ML há vários anos, já compramos e vendemos muitos itens, tínhamos uma boa experiência e uma ótima reputação no site. De repente, somos vítimas de um golpe, tentamos explicar, e em troca recebemos um bloqueio da nossa conta e uma grande frustração, fora o constrangimento.

Trocando em miúdos: fomos vítimas de um golpe, comunicamos ao Mercado Livre e o serviço se recusou a nos ajudar a resolver o problema, forçando-nos a pagar o que nunca solicitamos e bloqueando nossa conta.

Além do prejuízo financeiro, nossa conta foi bloqueada no ML

Parte 5: o que diz o Mercado Livre

O Canaltech entrou em contato com o Mercado Livre na última quinta-feira (23) para expor os fatos e obter um posicionamento da empresa em relação ao ocorrido. No meio dessa movimentação, um email chegou nesta sexta (24) avisando que nossa reclamação foi resolvida. No entanto, fomos conferir nosso status da conta e ela permanece bloqueada no site.

ATUALIZAÇÃO [24/05, às 19h10]

Em nota ao Canaltech, o Mercado Livre se posicionou alegando que a plataforma não apresenta brechas, mas que houve uma interceptação envolvendo o email de nosso colaborador. O site recomendou, como medida de segurança, alteração do endereço de email vinculado à nossa conta.

O Mercado Livre esclarece que não houve quebra de segurança da plataforma Mercado Pago. Infelizmente, identificamos que a vítima teve seu e-mail utilizado para gerar um link de pagamento fora da plataforma, porém afirmamos que a conta do colaborador do Canaltech no Mercado Livre/Mercado Pago não foi comprometida.

Não identificamos perdas financeiras nos cartões de crédito vinculados à conta do Mercado Pago ou no saldo da conta. Ainda assim, sentimos muito pelo ocorrido e pedimos desculpas pelo erro no atendimento, que demorou em identificar o problema e desbloquear a conta do cliente.

Em casos dessa natureza, para garantir mais segurança à conta do usuário, o Mercado Livre orienta que seja feita a alteração do endereço de e-mail e senha cadastrados na plataforma, e reitera que não solicita quaisquer dados de acesso por e-mail, telefone ou qualquer outro canal de contato.

E você, já teve alguma experiência parecida com o Mercado Pago? Conte para nós nos comentários!

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.