A Mastercard é uma das maiores bandeiras quando falamos em cartão de crédito. Por isso, ela também possui um programa de pontos chamado Surpreenda para fidelizar os seus clientes — por ali, usuários do cartão podem resgatar vouchers e trocar por presentes, por exemplo. O problema disso é: o Mastercard Supreenda tem uma falha de segurança que exibe os dados sensíveis de clientes para cibercriminosos.
Entre os dados que podem ser facilmente acessados, estão: nome completo, data de nascimento, RG, CPF, número celular, número telefônico residencial e endereço completo com CEP. Com essas informações em mãos, um cibercriminoso pode desde realizar um golpe de phishing customizado até realizar um golpe de fraude de identidade.
O que pode acontecer? Desde um phishing customizado até o cliente sofrer uma fraude de identidade
De acordo com a fonte anônima, que assina a denúncia como C0d3r3d, "todos os dias vemos inúmeras falhas de segurança que expõem dados de clientes, sendo responsabilidade das companhias a implementação controles". Sobre a falha de segurança, ela explica: "Para tomar o controle da conta e ter acesso a todos os dados do cliente no programa Surpreenda, basta digitar o CPF + Email cadastrado e solicitar um reset de senha. Estes dados podem ser encontrados publicamente na internet, além de não possuir nenhum mecanismo de anti-automação, o que torna um ataque de força bruta extremamente fácil, aonde são inseridos valores aleatórios até que o valor correto seja encontrado".
Dessa maneira, "todos os clientes da MasterCard Surpreenda, além dos pontos, estão também com seus dados em risco", nota C0d3r3d — os pontos, ou vouchers, são a menor preocupação neste caso. Sim, os cibercriminosos também podem roubar os vouchers das contas acessadas.
Posicionamento Mastercard
"A Mastercard ressalta que o Programa “Mastercard Surpreenda” é uma plataforma de relacionamento com o consumidor que por meio de acúmulo de pontos oferece benefícios e ofertas aos participantes, sem o uso monetário no resgate de produtos e serviços. Dessa maneira, a Mastercard salienta que nenhuma informação relativa aos cartões de pagamento, como o código de segurança, senha do cartão, ou transações com cartões Mastercard estão disponíveis no site do Programa “Mastercard Surpreenda”. A empresa reitera que segurança é uma de suas principais preocupações e que investe constantemente no desenvolvimento de processos mais seguros e em controles internos que garantam a proteção de suas soluções para evitar fraudes."
- A informação foi recebida pelo TecMundo em nossos canais de denúncia: denuncia@tecmundo.com.br ou felipepayao@protonmail.com
Abaixo, você acompanha algumas imagens que mostram como os dados são facilmente acessados.
O que podem fazer com esses tipos de dados
Para um cibercriminoso com um conhecimento considerável, as informações obtidas no Mastercard Surpreenda podem ser utilizadas para diversos golpes. Ou seja: não é necessário ter o número da conta corrente e senha para praticar algum golpe.
Um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis
Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".
Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.
Outro problema? A fraude de identidade. Segundo a Serasa Experian, um brasileiro é vitíma de fraude de identidade a cada 20 segundos. Para realizar uma fraude, basta o criminoso obter informações como as exibidas no Mastercard Surpreenda. Entre janeiro e novembro de 2016, a Serasa pegou mais de 1,6 milhão de tentativas de fraude no Brasil.
Categorias