Publicidade

Dados de 60 mil usuários de lockers para encomendas teriam sido expostos

Por| Editado por Wallace Moté | 08 de Agosto de 2023 às 12h49

Link copiado!

Divulgação/CliqueRetire
Divulgação/CliqueRetire

Uma vulnerabilidade nos sistemas da empresa CliqueRetire, especializada em lockers para recebimento de encomendas, teria exposto as informações de quase 60 mil usuários. Além de informações pessoais e registros de compras realizadas de clientes, informações internas e até sistemas da própria companhia também poderiam ser acessados a partir da falha de segurança.

O volume de dados exposto incluiria nomes completos, e-mails, CPFs e telefones dos clientes, além de registros quanto a encomendas recebidas e a localização de armários inteligentes utilizados por eles. Além disso, no servidor que poderia ser acessado publicamente também estavam imagens internas da companhia, vídeos de funcionários operando a infraestrutura da empresa e até chaves de acesso a plataformas como AWS, TeamViewer e Github, que poderiam levar a novos ataques.

A exposição de dados foi descoberta pelo especialista em cibersegurança intitulado Sushi com Abacate, no Twitter, e apurada pelo site Tecmundo. Além do servidor com informações abertas, a análise também localizou uma API acessível sem as devidas proteções de segurança, podendo levar a ataques contra os sistemas da companhia.

Continua após a publicidade

Não se sabe desde quando os dados estariam expostos nem se eles chegaram a ser acessados ou reproduzidos por terceiros. No comunicado enviado ao Tecmundo, a CliqueRetire disse estar empenhada na avaliação dos pontos levantados pela análise de segurança e que passa por auditorias constantes em seus sistemas, em busca de maior segurança. Já ao especialista, a companhia também deu mais detalhes sobre a causa do problema, indicando falhas no processo de desenvolvimento em uma plataforma low-code.

Atualização 08/08/2023, 17h12: Em contato com o Canaltech, a CliqueRetire disse ter agido de forma imediata para investigar a vulnerabilidade de segurança e que não houve impactos na operação e estrutura dos sistemas, bem como acesso a bancos de dados. Ainda no comunicado, a empresa reforçou a realização de auditorias de tecnologia e se comprometeu a adotar as melhores práticas de segurança cibernética.

Atenção aos golpes com e-mails falsos

Continua após a publicidade
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

Dados pessoais como e-mails, CPFs e telefones não representam necessariamente informações sensíveis, já que estão disponíveis em tantos megavazamentos que atingiram os brasileiros nos últimos anos. Entretanto, a associação destas informações a dados de compras online pode levar a fraudes contra os usuários, a partir de mensagens de phishing e contatos fraudulentos.

Por isso, a recomendação é de atenção a contatos telefônicos, por e-mail ou mensagem instantânea relacionados a encomendas que estariam sendo recebidas nos lockers. Certifique-se sempre de que a comunicação tem origem legítima e evite realizar pagamentos ou entregar novas informações por tais meios, preferindo o contato direto com a companhia em caso de dúvidas ou suspeitas.

Além disso, é importante ficar atento a tentativas indevidas de acesso a sistemas online e prestar atenção em registros financeiros, em busca de movimentações suspeitas ou que não tenham sido realizadas pelo próprio cliente. Ao sinal de qualquer problema, reforce a segurança do perfil, com a alteração de senhas e uso de autenticação em duas etapas, ou entre em contato com a instituição financeira, de acordo com o caso.

Continua após a publicidade

Fonte: Tecmundo