Recursos/White Papers

Notícias

Profissionais de segurança comentam vazamento de senhas de e-commerce no Brasil

As informações divulgadas, apesar de não terem sido obtidas por meio do acesso não autorizado, indicam os péssimos hábitos em torno da cibersegurança no país

Da Redação

Publicada em 18 de julho de 2017 às 17h24

Desde o dia 9 de julho, cibercriminosos estão divulgando uma lista com centenas de senhas e nomes de usuários de sites de e-commerce e de um intermediador financeiro no Pastebin, site que permite publicar informações de forma anônima.

Segundo o especialista em segurança da informação, Paulo Brito, que identificou o primeiro vazamento no domingo, o número de senhas e nomes de usuários passava de 800. Um segundo lote, identificado pela consultoria de segurança ANTECIPE, soma outras 1.040 credenciais, todas organizadas em listas contendo muitas vezes nomes, e-mail, e CPF

Brito explica que a publicação de lotes de senhas no Pastebin é um tipo de isca para atrair interessados em comprar lotes maiores que o cibercriminoso tenha em mãos. "O que acontece é que os bandidos vão guardando, montando as listas e de vez em quando publicam parte delas para que outros comprem - é propaganda. Quem compra pega esses dados, altera o endereço de entrega da mercadoria, altera o email (para o dono da conta não ser notificado de nada), pega um cartão roubado e faz a compra", diz.

A  lista de sites inclui logins de usuários de empresas como Magazine Luiza, Extra, Ponto Frio, Netshoes, Casas Bahia, Centauro, Extra, PagSeguro, ingresso.com, Zipmail e HostGator, entre outros. Alguns lotes são grandes, com várias centenas de nomes, e outros muito pequenos, com dois ou três nomes. As maiores listas incluem Magazine Luiza, PagSeguro, Casas Bahia, Ponto Frio e Extra. O formato dessas listas reforça a suspeita de que se trata de uma compilação de resultado de ataques de phishing contra usuários individuais.

As empresas que tiveram nomes envolvidos se apressaram em dizer que não registraram nenhum vazamento ou ataque às suas bases de dados. A área de comunicação institucional do grupo Via Varejo enviou para a redação, por e-mail, um comunicado oficial sobre o incidente: "A Via Varejo, responsável pela administração dos sites Casas Bahia, Pontofrio e Extra, esclarece que nenhum dos seus sistemas sofreu invasão ou alterações e reforça que segue as melhores práticas de segurança da informação adotadas no país."

Da mesma forma, a HostGator enviou por email comunicado oficial informando que "não houve nenhum tipo de ataque e que todas as informações de clientes armazenadas estão em segurança. A proteção dos dados é um tema sempre presente na empresa e a HostGator reforça seu comprometimento em manter sempre os dados dos clientes em segurança".

Por e-mail, o PagSeguro esclareceu que "não houve quebra de sigilo de nenhum dado de seus clientes. É falsa a informação veiculada em redes sociais. O PagSeguro reforça ainda que disponibiliza ambiente seguro para as transações, e que também ajuda seus clientes na prevenção de fraudes na internet, por meio de um material educativo disponível em https://pagseguro.uol.com.br/dicas-de-seguranca-online.jhtml".

Na opinião de André Uchoa, Chief Enterprise Architect da VTEX, há algumas hipóteses válidas para explicar a exposição desses dados: a obtenção dos dados pela invasão dos sites afetados, phishing, ou a obtenção dos dados de forma indireta.

Uchoa pondera que o formato do arquivo encontrado sugere que algum outro site pode ter sido atacado, seja usando phishing ou pela invasão de seus servidores e depois as senhas obtidas podem ter sido testadas nos sites de e-commerce. Essa também é uma técnica bastante comum, já que muitos usuários, para ajudar a memória, acabam usando a mesma senha em todos os sites onde têm conta. Uma prática pouco recomendável, mas bastante compreensível, considerado o transtorno que costuma ser realizar uma compra quando você esquece sua senha.

"Os sites que alertam seus usuários sobre o possível vazamento estão certamente cumprindo uma obrigação relacionada a suas políticas de segurança da informação. Os que, por sua vez, afirmam que nenhum servidor de suas lojas foi invadido também parecem estar sendo sinceros: é muito improvável que alguém tenha invadido todos esses sites", afirma o especialista.

ciberataque

Na opinião de Flávio Shiga, sócio e gerente de serviços da iBLISS Digital Security, que também teve acesso a lotes de dados vazados, as informações divulgadas, apesar de parecer não terem sido obtidas por meio do acesso não autorizado _ uma “invasão” aos portais das empresas, por exempo _  indicam os péssimos hábitos dos usuários em relação a senhas, especialmente dentro das empresas, já que os dados mostram que alguns usuários se cadastram em sites de compras usando o e-mail corporativo.

“Outra constatação preocupante é o fato de algumas dessas senhas dar acesso aos e-mails expostos, mostrando que muitos usuários usam a mesma senha para se cadastrar em vários serviços”, explica Shiga. “Se essas senhas forem as mesmas usadas também no e-mail corporativo cadastrado, algumas empresas podem estar em risco após esse vazamento”.

De acordo com o gerente de serviços da iBLISS, os dados divulgados mostram ainda que uma grande quantidade de usuários cadastra senhas fracas e de fácil dedução. Entre as mais utilizadas está a já conhecida combinação “123456”, e outras sequências como “102030” e “10101”. Ele também destaca termos como “deus123”, “abcdef”, “aninha”, “anjinho” e “sorvete”.

“O fato de vermos uma grande quantidade de indivíduos colocando esses maus hábitos em prática em sua vida pessoal não significa que eles também não ajam dessa maneira no ambiente profissional, mesmo que ele não tenha cadastrado seu e-mail corporativo. Portanto, é importante que as empresas brasileiras invistam em conscientização em segurança”, afirma o executivo da iBLISS.

"Se você tem login em desses lugares entre lá e mude a senha JÁ. Se não conseguir entrar é porque a sua senha foi mudada por outra pessoa. Nesse caso, use o "perdi minha senha", o telefone ou qualquer outro recurso porque o problema pode ser grande. Corra antes que os bandidos também achem a lista", alerta Paulo Brito

Uchoa concorda. "Aos usuários que descobriram seus dados entre os divulgados, ou que desconfiam disso, não resta outra saída a não ser alterar sua senha nesses lugares", diz ele, lembrando que a  remoção dos dados desse arquivo, a essa altura, não ajuda muito, pois quem estivesse interessado já o guardou. A melhor saída é alterar sua senha, tornando falsa a informação divulgada. Vale lembrar que, se você usa a mesma senha em outros sites, é bom alterar neles também, mesmo que não estejam entre os divulgados Mais cedo ou mais tarde essa senha pode ser testada lá também.

Em comunicado, a consultoria Antecipe explica que a forma como as senhas  e dados estavam organizados indica uso de phishing, quando cibercriminosos levam usuários a informar senha e login de diferentes sites usando e-mails ou sites falsos que parecem com os originais. De qualquer forma, o ideal é trocar a senha, uma prática que, independente de problemas como esse, deveria ser adotada regularmente por usuários de internet.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui