Senhas de e-commerce brasileiros não vazaram
Um suposto vazamento de senhas de contas em sites de e-commerce brasileiros começou a circular na noite de segunda-feira (17). O caso foi divulgado pelo site TecMundo e dizia que 360 logins e senhas de sites brasileiros como Netshoes, Extra, PagSeguro, HostGator e Casas Bahia foram publicados na internet e que poderia se tratar apenas uma amostragem de uma invasão maior. No entanto, o caso foi tratado com alarde desnecessário e alguns descuidos: não houve nenhuma invasão.
De acordo com o site, o arquivo foi encontrado pelo Laboratório de Segurança da Antecipe, no Pastebin. Ao revelar a fonte dos arquivos, um usuário com conhecimento básico em pesquisas pode encontrar facilmente a lista. O Gizmodo Brasil entrou em contato com a Antecipe que afirmou que “não acreditava ser uma invasão ao site das empresas, mas um provável ataque de phishing, com sites e emails falsos que levaram usuários a incluir suas credenciais”. Questionamos ainda como a empresa teve conhecimento sobre a lista e eles se recusaram a responder. Algumas horas depois da publicação original, o TecMundo atualizou a matéria dizendo que havia checado algumas das contas com uma fonte anônima e que “as contas foram desativadas ou não funcionam”.
Como apontou o Tecnoblog, um invasor dificilmente conseguiria explorar uma mesma brecha nos sites listados no suposto vazamento, já que cada um utiliza plataformas diferentes. Outra hipótese, além da utilização da técnica de phishings, é a de cruzamento de dados de grandes vazamentos com os sites brasileiros. Nos últimos anos, Yahoo!, Linkedin e o site de relacionamentos extraconjugais Ashley Madison tiveram milhões de contas expostas. A partir de uma ferramenta, hackers tentam validar as credenciais de quem repete as mesmas senhas em vários sites. O formato da lista corrobora essa possibilidade, com itens separados por pipes (“|”) e apresentando aspas ou maiúsculas em itens específicos.
Entramos em contato com as empresas supostamente afetadas pela invasão e todas elas negaram ataques à suas plataformas.
Via Varejo (Casas Bahia, Extra e PontoFrio):
“A Via Varejo, responsável pela administração dos sites Casas Bahia, Pontofrio e Extra, esclarece que nenhum dos seus sistemas sofreu invasão ou alterações e reforça que segue as melhores práticas de segurança da informação adotadas no país.”
Netshoes:
“A Netshoes informa que não sofreu ataque à sua base de dados e que as informações de seus clientes cadastrados seguem em segurança. A preocupação com segurança de dados é um tema recorrente na companhia e a Netshoes reforça seu compromisso em garantir a proteção das informações de seus clientes.”
PagSeguro:
“O PagSeguro esclarece que não houve quebra de sigilo de nenhum dado de seus clientes. É falsa a informação veiculada em redes sociais. O PagSeguro reforça ainda que disponibiliza ambiente seguro para as transações, e que também ajuda seus clientes na prevenção de fraudes na internet, por meio de um material educativo disponível em https://pagseguro.uol.com.br/dicas-de-seguranca-online.jhtml.”
Centauro:
“A Centauro afirma que as informações de seus clientes estão asseguradas na base de dados da empresa, a qual não sofreu qualquer tipo de ataque. A companhia garante ainda que sua loja virtual é um site seguro e seus clientes podem seguir contando com o comprometimento da empresa na proteção de seus dados.”
HostGator:
A HostGator informa que não houve nenhum tipo de ataque e que todas as informações de clientes armazenadas estão em segurança. A proteção dos dados é um tema sempre presente na empresa e a HostGator reforça seu comprometimento em manter sempre os dados dos clientes em segurança.
Proteção
Não há motivos para pânico com a divulgação desta lista, afinal não se trata de um grande vazamento dos sites brasileiros. Para se proteger de quaisquer ameaças de phishing ou de vazamentos de outros sites, recomendamos seguir algumas dicas:
• Leia este guia para identificar um link em que você não deveria clicar.
• Utilize um gerenciador de senhas como o LastPass e 1Password que gerenciam e criam senhas fortes automaticamente, sem repeti-las em vários sites.
• Troque suas senhas regularmente.
• Verifique seu email no site Have I Been Pwned? e assine a newsletter do serviço para ser avisado se o seu email entrou em um grande vazamento
Imagem do topo: typographyimages/Pixabay