Se você possui um cartão de crédito da Saraiva, da Netshoes ou da Marisa, saiba que, em determinado momento, seus dados pessoais provavelmente estiveram expostos na internet, perfeitamente acessíveis para qualquer criminoso que tivesse interesse em roubá-los. Após receber uma denúncia de um leitor anônimo, o TecMundo constatou que tais lojas virtuais possuem uma vulnerabilidade em comum que pode botar em xeque a segurança de seus clientes.
Nenhuma das três companhias utiliza criptografia, certificados de segurança ou o protocolo HTTPS (que garante uma conexão segura entre sua máquina e o servidor) ao fazer com que o internauta preencha um extenso formulário para a fim de requisitar seu cartão pela internet. O registro pede nome completo, CPF, RG, data de nascimento, nome da mãe, contato telefônico, endereço e até mesmo informações profissionais.
Nossa fonte afirma ter enviado um email para a equipe responsável pela Saraiva, mas a resposta foi um tanto branda e incompleta: “Informamos que seus comentários serão encaminhados ao departamento responsável, pois serão de grande valia para que possamos identificar possíveis falhas e priorizar as mudanças necessárias, para proporcionar-lhe uma melhor experiência em nosso site”. Três meses depois, a vulnerabilidade ainda existe.
A Saraiva é uma das empresas que não aplica HTTPS na página de cadastro para solicitação de cartões
Outras empresas sem HTTPS
Além dessas três redes de renome, outras empresas menores também cometem o mesmo erro em suas respectivas páginas de cadastro. Em uma rápida pesquisa, encontramos mais três sites que oferecem cartões de crédito via internet — o Havan, o LeaderCard e o Nalin. Todos são ligados às redes de lojas de departamento homônimas e oferecem condições especiais para clientes que utilizaram tal método de pagamento durante as compras.
Os dados digitados na página durante o cadastro podem ser visualizados e até mesmo modificados por terceiros
Sem uma camada de proteção envolvendo a comunicação entre o computador do cliente e os servidores do ecommerce, os dados digitados na página durante o cadastro podem ser visualizados e até mesmo modificados por terceiros que estejam na mesma rede que você. O mais interessante é que todas essas lojas aplicam criptografia no checkout de uma compra online, mas “se esqueceram” de proteger tais formulários de registro.
De posse de tais dados pessoais, qualquer cibercriminoso pode aplicar fraudes em seu nome — caso queira saber mais sobre como esses meliantes efetuam golpes na internet, clique aqui e confira uma matéria dedicada sobre o assunto. Nessa reportagem, também informamos como se manter seguro e preservar sua privacidade enquanto navega na web.
Sem criptografia, dados podem ser interceptados por criminosos
Entenda os riscos da ausência de criptografia
O TecMundo conversou com Cassius Puodzius, especialista em segurança da ESET, para entender exatamente quais são os riscos presentes em uma página que não seja protegida com o protocolo HTTPS. De acordo com o executivo, os dados trocados entre o servidor e o navegador podem ser interceptados e controlados por um terceiro internauta malicioso, roubando credenciais bancárias e informações cadastrais.
Ao acessar um site, é importante que o usuário verifique se a conexão é segura
“Dessa forma, ao acessar um site, é importante que o usuário verifique se a conexão é segura. Para isso, o internauta deve verificar se possui instalado os certificados digitais no site. São eles que vão garantir confidencialidade e autenticidade das informações”, afirma Cassius. “A verificação, quando realizada com sucesso, garante a confidencialidade das informações. Dessa forma, ninguém conseguirá interceptar a comunicação entre o navegador e o servidor do site e, assim, ter acesso ao conteúdo das informações trocadas”.
O especialista alerta ainda para que o internauta evite sites que não trabalhem com HTTPS (ou seja, que não possuem criptografia), e tome cuidado para a prática de vishing. “No vishing, os criminosos ligam para pessoas e tentam convencê-las a fornecer dados pessoais ou financeiros se passando por funcionários de um banco, uma empresa ou até mesmo de um suporte técnico. A dica nesse caso é nunca divulgar informações pessoais ao receber uma ligação, mesmo que supostamente de uma empresa confiável”, conclui.
Evite usar sites sem HTTPS
Como posso saber se uma conexão é segura?
Se você utiliza o Google Chrome, é fácil identificar um site não seguro — basta prestar atenção ao ícone que aparece do lado esquerdo do endereço visitado. Um cadeado verde indica que a página possui um certificado de autenticidade válido e que foi possível estabelecer uma conexão criptografada (ou seja, protegida) com seus servidores. Caso o ícone seja uma bolinha branca ou um triângulo vermelho, a conexão não é particular.
Exemplo de página que não possui criptografia
Existe um sistema parecido no Mozilla Firefox e no Edge — basta verificar se o ícone que aparece ao lado da URL é um cadeado para descobrir que você está em uma conexão criptografada. No Firefox, uma conexão normal é sinalizada com um desenho de globo terrestre; já o Edge não utiliza quaisquer ícones para demonstrar a falta de segurança de uma página.
O cadeado verde indica que a conexão é criptografada
As respostas das empresas
O TecMundo entrou em contato com a Saraiva, com a Netshoes e com a Marisa, e as três empresas se mostraram dispostas a investigar a suposta falha. Confira o pronunciamento oficial da Marisa a respeito do assunto:
A Marisa informa que está ciente desta questão e já está providenciando a implantação do protocolo https e a certificação digital na página de cadastro para solicitar um Cartão Marisa, que devem estar habilitados até segunda-feira, dia 17/10. A rede, que está há mais de 65 anos no mercado, preza pela qualidade, segurança e bom atendimento não só nas lojas físicas como também no e-commerce e trabalha para aprimorar constantemente seus processos.
Já a Netshoes esclareceu que o formulário de registro está hospedado nos servidores do banco responsável pelos cartões, e tal conexão é criptografada. Confira o comunicado na íntegra:
O Grupo Netshoes esclarece que a página (http://www.netshoes.com.br/cartao-netshoes-registro?ncardForm=internacional) na qual é possível solicitar o Cartão NCard não traz riscos para a segurança dos dados pessoais dos seus usuários. O formulário em que os dados são digitados utiliza a técnica de iframe, que fica hospedada na infraestrutura do banco parceiro, utilizando o protocolo HTTPS e certificado digital, de acordo com todas as especificações necessárias para a segurança do consumidor. A preocupação com a segurança de dados é um tema recorrente na companhia e o Grupo Netshoes reforça seu compromisso em garantir a proteção das informações de seus clientes.
O uso do iFrame dificulta a inspeção, uma vez que nenhum cadeado de segurança é apresentado ao lado da barra de endereço
De acordo com Cassius, da ESET, esse método utilizado pela Netshoes é de fato funcional e garante a proteção dos dados trocados na hora de preencher o formulário. "No entanto, em relação à possibilidade do usuário verificar a autenticidade do site, o uso do iFrame dificulta a inspeção, uma vez que nenhum cadeado de segurança é apresentado ao lado da barra de endereço e o navegador não apresenta nenhum diferença de layout pelo fato de utilizar HTTPS. Essa dificuldade de verificação da autenticidade de sites por usuários sem conhecimento técnico é muito explorada pelos cibercriminosos, que usam desse artifício para clonar páginas e lançar golpes fazendo-se passar por sites legítimos”, explica o especialista.
Por fim, segue o posicionamento oficial da Saraiva:
A Saraiva garante a segurança de seu site de e-commerce e está em constante evolução de processos para garantir sempre a proteção de qualquer transação em seu ambiente online.
Categorias