Afinal: vazaram ou não centenas de dados de clientes de lojas virtuais?

Na segunda-feira (17), uma notícia estampou o noticiário tecnológico nacional denunciando o vazamento de dados, como endereços de e-mail e senhas, de centenas de clientes de e-commerces brazucas. Entre as lojas virtuais mencionadas, estavam grandes plataformas, como Netshoes, Extra, Centauro, Casas Bahia, PagSeguro e Ponto Frio. Contudo, outras reportagens entraram em contradição com a notícia inicial, alegando que não houve nenhum vazamento do tipo. Então, o que está acontecendo, de verdade?

De acordo com um arquivo encontrado pelo Laboratório de Segurança da Antecipe, mais de 360 logins e senhas foram expostos, mas a empresa não havia conferido se aqueles dados eram referentes a usuários ativos, de fato, uma vez que estariam cometendo um crime caso tentassem acessar as contas daqueles usuários usando as informações expostas. Em comunicado oficial, a companhia explicou que acreditou que aqueles dados descobertos teriam sido obtidos por meio de phishing, em que os usuários teriam sido levados a informar seus dados pensando que estavam em sites oficiais daquelas lojas. Ou seja, os sistemas dos e-commerces não chegaram a ser invadidos, mas, sim, os próprios usuários, que enganados por cibercriminosos, forneceram seus dados por conta própria, sem ter conhecimento da fraude.

Ainda assim, a Antecipe recomenda que clientes dessas lojas virtuais troquem suas senhas em cada plataforma, “o que seria benéfico aos usuários, mesmo os não afetados”.

Especialistas explicam

Conversamos, então, com André Uchoa, chief enterprise architect da VTEX (empresa global especializada em plataformas de e-commerce na nuvem, que possui uma ferramenta que ajuda a prevenir fraudes chamada SmartCheckout), para explicar melhor o caso.

Ele acredita que os dados expostos realmente são provenientes da prática de phishing, cujo nome faz referência à pescaria e tem como objetivo fazer com que o próprio usuário forneça sua senha ao hacker. “Uma isca é jogada na forma de mensagem de correio eletrônico, que procura imitar a aparência das mensagens do site original com alguma promoção ou indicação de necessidade de recadastramento, levando o usuário a uma página falsa onde deve ser feito login com e-mail e senha”, explica. Essa página falsa, então, armazena esses dados, sendo que, frequentemente, exibe uma mensagem de erro ao usuário antes de redirecioná-lo ao site real. Dessa forma, o usuário acaba nem suspeitando que acabou de ser vítima de uma fraude.

Para Flávio Shiga, sócio e gerente de serviços da iBLISS Digital Security, o ocorrido indica os péssimos hábitos dos usuários em relação a suas senhas, já que os dados revelam que muitos deles se cadastram em sites de compras diferentes usando as mesmas credenciais, além de também usarem e-mails corporativos para tal.

“Outra constatação preocupante é o fato de algumas dessas senhas darem acesso aos e-mails expostos”, disse o especialista, mostrando a falta de preocupação para com a própria segurança por parte dos usuários brasileiros. De acordo com Shiga, até o momento, o estado mais impactado com esta exposição é o de São Paulo, com mais de 165 registros divulgados. Na sequência aparecem os estados do Rio de Janeiro, Minas Gerais, Mato Grosso do Sul, Paraná, Rio Grande do Sul, Santa Catarin e Bahia.

O especialista também revelou que boa parte das senhas divulgadas eram fracas e de fácil dedução, como “123456”, por exemplo, entre outras nada seguras como “abcdef” e, até mesmo, o nome do usuário.

Com a palavra, as empresas mencionadas

Algumas das plataformas de e-commerce que foram mencionadas no vazamento massivo de dados já se manifestaram a respeito. A Via Varejo, responsável pelas lojas virtuais das Casas Bahia, Extra e Ponto Frio, esclareceu que não houve invasão em seus sistemas, reforçando que esses sites seguem as práticas de segurança adotadas no Brasil.

A Netshoes também informou que não sofreu nenhum tipo de ataque à sua base de dados, garantindo que as informações fornecidas por seus clientes seguem em segurança. Da mesma maneira, o PagSeguro informou que não houve quebra de sigilo em seus sistemas, enquanto a Centauro garante que as informações de seus clientes estão asseguradas em sua base de dados.

Como se prevenir de ataques de phishing

André Uchoa também deu dicas de como os usuários podem se proteger contra esse tipo de ameaça. “Aos usuários que descobriram seus dados entre os divulgados, ou que desconfiam disso, não resta outra saída a não ser alterar sua senha”, recomenda, lembrando, ainda, que “se você usa a mesma senha em outros sites, é bom alterar neles também, mesmo que não estejam entre os divulgados”.

Além disso, o PagSeguro tem em sua plataforma uma página especialmente dedicada a fornecer dicas de segurança para seus usuários. O sistema de pagamentos digitais alerta que não envia arquivos anexos nas comunicações realizadas por e-mail, e que, caso o usuário receba algo do tipo, não é recomendada a abertura do arquivo, que deve ser prontamente deletado.

Outras recomendações incluem não fornecer informações como números de cartões e senhas por contatos telefônicos, não pagar boletos suspeitos, e atentar-se sempre ao endereço apresentado na URL da página, pois, comumente, sites fraudulentos copiam esses endereços, mas apresentam um ou mais caracteres diferentes da URL original.