Em denúncia enviada ao TecMundo nesta terça-feira (5), hackers pegaram mais de 17 mil nomes completos, com email, número CPF, RG, endereço (cidade e estado) e data de nascimento de consumidores da Netshoes. São diversos os golpes que podem ser realizados com estas informações, desde o phishing "customizado" até uma engenharia social mirando o roubo de dados bancários.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
No total, são dados de 17.908 clientes enviados em quatro documentos postados no Pastebin. O hacker que enviou os documentos se identifica como "DFrank" e comentou o seguinte ao TecMundo:
"Queremos as companhias encerrem o discurso de que os dados de consumidores estão seguros. As pessoas não podem continuar sendo enganadas pelas empresas, acreditando que seus dados pessoais são seguros".
São 17.908 clientes de todas as partes do Brasil que tiveram as informações vazadas
Dfrank comentou que "explorou vulnerabilidades na plataforma para acessar os dados". Sem querer entrar em detalhes, o atacante disse que obteve acesso "usando uma técnica que se chama fuzzing para se infiltrar no código-fonte". O fuzzing é uma técnica normalmente automatizada ou semi-automatizada. Ela promove dados inválidos e aleatórios como entradas em programas — o mais comum é que o fuzzing encontre falhas mais simples em programas.
De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".
E o que realmente aconteceu?
Enquanto os hackers comentam que tiveram acesso aos dados por causa de um ataque, é bem possível que, na verdade, isso não passe de um phishing.
Caso você não saiba, phishing é um dos métodos de ataque mais antigos, já que "metade do trabalho" é enganar o usuário de computador ou smartphone. Como uma "pescaria", o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.
A Netshoes afirma que não foram identificados quaisquer indícios de invasão aos sistemas da empresa
A própria Netshoes comentou o seguinte ao TecMundo: "A Netshoes afirma que não foram identificados quaisquer indícios de invasão aos sistemas da empresa e que os dados referidos não incluem informações bancárias, de cartões de crédito, ou senhas de acesso. A companhia reforça seu compromisso com a segurança de seus ambientes tecnológicos, a fim de garantir a proteção de todas as informações de sua base de consumidores. A empresa tem como prática disponibilizar conteúdo aos seus clientes sobre potenciais crimes cibernéticos e segurança da informação. Inclusive, envia frequentemente orientações para mitigar ameaças digitais".
- O TecMundo não vai divulgar as tabelas enviadas por motivos de segurança
Para manter a integridade de suas contas, seja de ecommerce, redes sociais ou internet banking, utilize sempre senhas longas. Além disso, caso você tenha caído em algum golpe bancário, é necessário ficar atento ao extrato e entrar em contato com o seu gerente, que lhe ajudará nos próximos passos.
Um dos 4 documentos no Pastebin enviados ao TecMundo
Categorias