Profissionais de segurança comentam vazamento de senhas de e-commerce no Brasil

Desde
o dia 9 de julho, cibercriminosos estão divulgando uma lista com
centenas de senhas e nomes de usuários de sites de e-commerce e de um
intermediador financeiro no Pastebin, site que permite publicar
informações de forma anônima.

Segundo o especialista em segurança da informação, Paulo Brito, que identificou o primeiro vazamento no domingo, o número de senhas e nomes de usuários passava de 800. Um segundo lote, identificado pela consultoria de segurança ANTECIPE, soma outras 1.040 credenciais, todas organizadas em listas contendo muitas vezes nomes, e-mail, e CPF

Brito explica que a publicação de lotes de senhas no Pastebin é um tipo
de isca para atrair interessados em comprar lotes maiores que o
cibercriminoso tenha em mãos. “O que acontece é que os bandidos vão
guardando, montando as listas e de vez em quando publicam parte delas
para que outros comprem – é propaganda. Quem compra pega esses dados,
altera o endereço de entrega da mercadoria, altera o email (para o dono
da conta não ser notificado de nada), pega um cartão roubado e faz a
compra”, diz.

A lista de sites inclui logins de usuários de empresas como Magazine Luiza, Extra, Ponto Frio, Netshoes, Casas Bahia, Centauro, Extra, PagSeguro, ingresso.com, Zipmail e HostGator, entre outros. Alguns lotes são grandes, com várias centenas de nomes, e outros muito pequenos, com dois ou três nomes. As maiores listas incluem Magazine Luiza, PagSeguro, Casas Bahia, Ponto Frio e Extra. O formato dessas listas reforça a suspeita de que se trata de uma compilação de resultado de ataques de phishing contra usuários individuais.

As empresas que tiveram nomes envolvidos se apressaram em dizer que não registraram nenhum vazamento ou ataque às suas bases de dados. A área de comunicação institucional do grupo Via Varejo enviou para a redação, por e-mail, um comunicado oficial sobre o incidente: “A Via Varejo, responsável pela administração dos sites Casas Bahia, Pontofrio e Extra, esclarece que nenhum dos seus sistemas sofreu invasão ou alterações e reforça que segue as melhores práticas de segurança da informação adotadas no país.”

Em comunicado oficiial, a Netshoes informa “que não sofreu ataque à sua base de dados e que as informações de seus clientes cadastrados seguem em segurança. A preocupação com segurança de dados é um tema recorrente na companhia e a Netshoes reforça seu compromisso em garantir a proteção das informações de seus clientes”

Da mesma forma, a HostGator enviou por email comunicado oficial informando que “não houve nenhum tipo de ataque e que todas as informações de clientes armazenadas estão em segurança. A proteção dos dados é um tema sempre presente na empresa e a HostGator reforça seu comprometimento em manter sempre os dados dos clientes em segurança”.

Por e-mail, o PagSeguro esclareceu que “não houve quebra de sigilo de nenhum dado de seus clientes. É falsa a informação veiculada em redes sociais. O PagSeguro reforça ainda que disponibiliza ambiente seguro para as transações, e que também ajuda seus clientes na prevenção de fraudes na internet, por meio de um material educativo disponível em https://pagseguro.uol.com.br/dicas-de-seguranca-online.jhtml“.

Na opinião de André Uchoa, Chief Enterprise Architect da VTEX, há
algumas hipóteses válidas para explicar a exposição desses dados: a
obtenção dos dados pela invasão dos sites afetados, phishing, ou a
obtenção dos dados
de forma indireta.

Uchoa pondera que o formato do arquivo encontrado sugere que algum outro site pode ter sido atacado, seja usando
phishing ou pela invasão de seus servidores e depois as senhas obtidas
podem ter sido testadas nos sites de e-commerce. Essa também é uma técnica bastante comum, já
que muitos usuários, para ajudar a memória, acabam usando a mesma senha
em todos os sites onde têm conta. Uma prática
pouco recomendável, mas bastante compreensível, considerado o transtorno
que costuma ser realizar uma compra quando você esquece sua senha.

“Os sites que alertam seus usuários sobre o possível
vazamento estão certamente cumprindo uma obrigação relacionada a suas
políticas de segurança da informação. Os que, por sua vez, afirmam que
nenhum servidor de suas lojas foi invadido também
parecem estar sendo sinceros: é muito improvável que alguém tenha
invadido todos esses sites”, afirma o especialista.

Na opinião de Flávio Shiga, sócio e gerente de serviços da iBLISS Digital Security,
que também teve acesso a lotes de dados vazados, as informações divulgadas,
apesar de parecer não terem sido obtidas por meio do acesso não autorizado _ uma
“invasão” aos portais das empresas, por exempo _ indicam os péssimos hábitos dos
usuários em relação a senhas, especialmente dentro das empresas, já que
os dados mostram que alguns usuários se cadastram em sites de compras
usando o e-mail corporativo.

“Outra
constatação preocupante é o fato de algumas dessas senhas dar acesso
aos e-mails expostos, mostrando que muitos usuários usam a mesma senha
para se cadastrar em vários serviços”, explica Shiga. “Se essas senhas
forem as mesmas usadas também no e-mail corporativo cadastrado, algumas
empresas podem estar em risco após esse vazamento”.

De
acordo com o gerente de serviços da iBLISS, os dados divulgados mostram
ainda que uma grande quantidade de usuários cadastra senhas fracas e de
fácil dedução. Entre as mais utilizadas está a já conhecida combinação
“123456”, e outras sequências como “102030” e “10101”. Ele também
destaca termos como “deus123”, “abcdef”, “aninha”, “anjinho” e
“sorvete”.

“O
fato de vermos uma grande quantidade de indivíduos colocando esses maus
hábitos em prática em sua vida pessoal não significa que eles também
não ajam dessa maneira no ambiente profissional, mesmo que ele não tenha
cadastrado seu e-mail corporativo. Portanto, é importante que as
empresas brasileiras invistam em conscientização em segurança”, afirma o
executivo da iBLISS.

“Se você tem login em desses lugares entre lá e mude a senha JÁ. Se não conseguir entrar é porque a sua senha foi mudada por outra pessoa. Nesse caso, use o “perdi minha senha”, o telefone ou qualquer outro recurso porque o problema pode ser grande. Corra antes que os bandidos também achem a lista”, alerta Paulo Brito

Uchoa concorda. “Aos
usuários que descobriram seus dados entre os divulgados, ou que
desconfiam disso, não resta outra saída a não ser alterar sua senha
nesses lugares”, diz ele, lembrando que a remoção dos dados desse arquivo, a essa altura, não
ajuda
muito, pois quem estivesse interessado já o guardou. A melhor saída é
alterar sua senha, tornando falsa a informação divulgada. Vale lembrar
que, se você usa a mesma senha em outros sites, é bom alterar neles
também, mesmo que não estejam entre os divulgados Mais cedo ou mais tarde essa senha pode ser testada lá também.

Em comunicado, a consultoria Antecipe explica que a forma como as senhas e dados estavam organizados indica uso de phishing, quando cibercriminosos levam usuários a informar senha e login de diferentes sites usando e-mails ou sites falsos que parecem com os originais. De qualquer forma, o ideal é trocar a senha, uma prática que, independente de problemas como esse, deveria ser adotada regularmente por usuários de internet.