Uma insegurança encontrada nos sistemas da VTEX para lojas online pode funcionar como gatilho para golpistas roubarem dados de usuários. Segundo apuração feita pelo Tecnoblog, é possível ter acesso, de forma parcial, a nome, endereço, número de telefone e cartão de crédito sem a necessidade de fazer login. Drogaria São Paulo e Universal Music Store são exemplos de lojas que usam a ferramenta.
Ao acessar a loja online da Drogaria São Paulo, foi possível notar que, ao finalizar o pagamento, o sistema pede apenas o e-mail de cadastro no site — sem a necessidade de senha para isso. O mesmo aconteceu ao fazer uma compra na Universal Music Store.
Assim que o e-mail é informado pelo usuário, uma série de dados cadastrados anteriormente na plataforma são exibidos de maneira pseudonimizada. Ou seja, parcialmente ocultados por asteriscos.
Vale ressaltar que a plataforma ainda exige o código de verificação do cartão de crédito (CVV) para fechar a compra.
Essa tecnologia é conhecida como SmartCheckout, que promete agilizar o processo de compra em lojas online. Apesar de ser mais prática, a divulgação desses dados — mesmo que ocultados — pode ser um problema.
É aí que mora o perigo
Atualmente, endereços de e-mail circulam livremente pela internet, principalmente após grandes vazamentos de dados ocorridos nos últimos meses.
Um golpista com tempo livre e uma planilha de endereços na mão pode, por exemplo, ter acesso aos sistemas da Drogaria São Paulo e da Universal Music sem qualquer barreira de proteção.
Dessa forma, seria possível entrar em contato com clientes em busca de dados completos — como o de cartão de crédito e CPF.
Isso seria possível com engenharia social — quando um criminoso se passa por alguma pessoa ou empresa para conseguir informações sensíveis e aplicar golpes. Veja um exemplo de mensagem que poderia ser enviada pelos golpistas:
“Fulano de Tal,
Endereço: Aven*****, Orlan*****, São*****/SP
Telefone com final 3566 e e-mail [email protected]
Seu cartão com final 0076 foi usado no Tecnoblog no dia 04/05.
Acesse o link abaixo para confirmar ou contestar a compra.
(link para página falsa)”
Os dados mencionados em negrito podem ser obtidos sem login, apenas informando um e-mail nas lojas que fazem o uso dessa tecnologia.
O que dizem os especialistas
O Tecnoblog entrou em contato com Hector Grecco e Pedro Saliba, pesquisadores e especialistas em segurança da informação, para verificar a segurança do sistema.
“Isso não é nada seguro. Apesar de ocultarem parcialmente as informações, só de o golpista confirmar os quatro últimos dígitos de telefone já é um sinal para um usuário pensar que se trata de um contato legítimo de uma empresa. Se ele sabe seus quatro últimos dígitos do telefone, sabe que você mora em determinada rua e ainda te passa os últimos números do seu cartão de crédito, é possível fazer engenharia social para poder recuperar as informações do cliente. O ideal seria não ter esse checkout apenas com e-mail, mas também exigir uma senha para ter acesso aos dados, mesmo que anonimizados”, afirma Grecco.
Pedro Saliba, pesquisador do Data Privacy Brasil e especialista em vazamentos e golpes cibernéticos, diz que “muitos sites salvam informações básicas para facilitar a vida de consumidores”.
No entanto, “o fato de ter acesso a dados pseudonimizados pode trazer mais riscos por conta da verossimilhança das informações. Ou seja, entrar em contato apontando nome, endereço e o final do cartão de crédito pode simular uma requisição legítima”.
Além disso, o processo de engenharia social citado por Grecco abusa das vulnerabilidades humanas. Pedro também trouxe detalhes sobre esse tipo de golpe.
“Um desafio sobre lidar com golpes digitais é exatamente a criatividade de quem está aplicando e buscando vantagens indevidas, geralmente utilizando técnicas de engenharia social, um método para obtenção de dados e informações digitais. Nesse caso, é relevante observar não apenas a possibilidade de engenharia social, mas a capacidade subjetiva de terceiros para reverter o processo de anonimização empregado. As empresas vão precisar balancear a experiência de usuário com a proteção de dados, adotada desde a concepção dos produtos e serviços”, explica.
VTEX garante que tecnologia é segura
Procurada pelo Tecnoblog, a Drogaria São Paulo encaminhou a nossa solicitação para a própria VTEX, responsável por seu sistema de vendas.
A empresa, por sua vez, informou que a tecnologia conhecida como SmartCheckout apresenta padrão PCI-DSS de segurança em pagamentos, já que os dados do usuário são exibidos de forma anonimizada. “A tecnologia SmartCheckout foi desenvolvida pela VTEX para proporcionar uma maneira rápida e segura de comprar um produto nas lojas online que utilizam nossa plataforma”, disseram.
“Caso um terceiro tente acessar informações de outro consumidor, o dado apresentado é anonimizado de forma certificada pelo padrão PCI-DSS de segurança em pagamentos, ou seja, não representa uma informação completa. A VTEX ressalta que tem como prioridade a segurança das informações de todos que utilizam sua plataforma, e emprega tecnologia de ponta para o monitoramento constante em todos os seus domínios, seguindo todas as regulamentações do setor”, continuaram.
No entanto, a plataforma não se pronunciou sobre a possibilidade de golpistas abusarem do sistema, uma vez que não há necessidade de login para encontrar dados parcialmente cobertos.
Também entramos em contato com a Universal Music, mas não tivemos retorno até o fechamento desta matéria.
O que diz a LGPD
O artigo 12 da Lei Geral de Proteção de Dados Pessoais cita que o “dado anonimizado é aquele que, originariamente, era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa”.
Entretanto, não é isso que acontece nos sistemas da VTEX, visto que é possível reverter o processo. “Um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para descobrir quem era a pessoa titular do dado. Se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD”, diz a lei.
Na dúvida, desconfie!
A criatividade do ser humano é algo incrível, mas também pode ser usada para o mal. Além da necessidade das empresas de oferecerem sistemas seguros ao consumidor, é importante fazer o dever de casa para não cair nesse tipo de golpe.
Inúmeras formas de roubar dados dos usuários são pensadas e executadas todos os dias, por isso, sempre desconfie. Recebeu alguma mensagem que pareça suspeita ou que não faz parte da sua rotina? Nesse caso, a recomendação dos especialistas é entrar em contato diretamente com a empresa ou instituição da suposta mensagem para confirmar a veracidade. Além disso, nunca clique em links suspeitos ou repasse seus dados pessoais, mesmo que a mensagem contenha informações sobre você.
Até porque, com os inúmeros vazamentos de dados que já aconteceram — e ainda acontecem — não é difícil que uma parte de nossas informações sensíveis já esteja nas mãos de outras pessoas.
Usamos cookies em nosso site para fornecer a experiência mais relevante, lembrando suas preferências e visitas repetidas. Ao clicar em “Aceitar todos”, você concorda com o uso de TODOS os cookies. No entanto, você pode visitar "Configurações de cookies" para fornecer um consentimento controlado.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duração
Descrição
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Policial3 semanas atrás
Últimas Notícias3 semanas atrás
Bairros3 semanas atrás
Curiosidades3 semanas atrás
Últimas Notícias3 semanas atrás
Últimas Notícias4 semanas atrás
Saúde4 semanas atrás
Últimas Notícias4 semanas atrás