Semana passada, dia 5 de dezembro, um hacker identificado como “DFrank” entrou em contato com o site brasileiro de notícias Tecmundo para informar sobre a realização de um ataque aos servidores da Netshoes, empresa que possui um dos mais tradicionais e maiores sites de comércio eletrônico do país. Segundo a reportagem, o hacker havia disponibilizado uma lista de 17.908 cadastros de clientes que continham além do email, dados pessoais como nome completo, endereço (cidade / estado), data de nascimento, RG e CPF.
O hacker informou que conseguiu explorar algumas vulnerabilidades da plataforma utilizada pela Netshoes, por meio de uma técnica denominada como fuzzing, que de acordo com a OWASP, trata-se de um tipo de teste que basicamente consiste em encontrar erros de implementação usando injeção de dados malformados ou de forma automatizada.
Imediatamente a empresa se posicionou, informando que não havia indícios de invasão aos seus sistemas e que os milhares de dados publicados na internet não continham informações bancárias ou senhas, e que ainda afirma o seu compromisso com a segurança dos seus clientes. Na própria reportagem, foi citada a possibilidade de se tratar de um conteúdo resultante de um ataque de phishing, em que usuários teriam que ter clicado em links maliciosos enviados por e-mail ou mensagens de texto que os levariam a um falso site, onde poderiam ter coletado estas informações. Porém, dois dias depois, um outro documento foi enviado ao site de notícias Tecmundo, só que agora contendo os dados cadastrais e de pedidos de compras de mais de 500 mil clientes da empresa, segundo o denunciante. Para provar, “DFrank” mostrou que os dados do repórter da Tecmundo estavam presentes na nova lista vazada, indicando assim que não se trataria de um ataque de phishing e sim de uma invasão à base de dados da Netshoes.
Novamente a empresa emitiu um comunicado oficial, afirmando que não foram constatados quaisquer indícios de invasão, porém, diversos especialistas na internet questionam essa posição. E um dos mais conhecidos sites de vazamento de informações no mundo, “Have I Been Pwned”, administrado pelo respeitado especialista em segurança da informação, Troy Hunt, incluiu a Netshoes na lista de vazamentos e que pode ser checada acessando o seu site.
Eu fiz testes com algumas contas de clientes que possuem cadastro na Netshoes e o resultado foi positivo para diversos emails, ou seja, de alguma forma os dados vazados possuem relação com a empresa. Agora nos resta saber como é que ocorreu um vazamento tão grande de cadastros e ai é que teremos um sério problema!
Como não há uma lei que obrigue empresas vítimas deste tipo de incidente a fazerem qualquer tipo de notificação, seja a um órgão do governo ou mesmo aos seus clientes, nunca teremos com clareza a confirmação deste e de outros casos que já ocorreram em diferente empresas no país. Essa falta de transparência nas relações comerciais e a ausência de uma fiscalização que pudesse garantir realmente a proteção dos nossos dados deixa nós, clientes, como as principais vítimas, ficando apenas como espectador, sem saber ao certo a gravidade da situação.
Por isso, recomendo que os clientes da empresa acessem o site “Have I Been Pwned” disponível no endereço abaixo e façam a consulta, informando apenas o email cadastrado na Netshoes e caso ele conste na base de dados da empresa, por precaução altere não somente a senha, mas o email também, para reduzir a possibilidade de uso indevido de sua conta, mesmo que a empresa afirme que estes dados não foram publicados no vazamento, mas quem garante que o possuidor desta lista não tenha tomado posse disso também.
https://haveibeenpwned.com/
E se por acaso você ou seus familiares fizerem uso dessa conta e senha em outros sites de comércio eletrônico, altere estas informações também, pois é provável que criminosos tentem explorar outras empresas de ecommerce, assim como outros serviços na internet.
E como a tendência é que este tipo de incidente aumente nos próximos anos, seja por técnica de fuzzing, phishing ou qualquer outra forma de ataque, recomendo também que você faça uso de um email exclusivo para suas compras, não misturando com outros serviços como redes sociais, por exemplo.
Fontes consultadas: Have I Been Pwned / DataBreaches / Tecmundo
Imagens: Have I Been Pwned / Pixabay
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
