A Netshoes, ao que parece, está com um furo no encanamento: ano passado, dados de 500 mil clientes da empresa acabaram vazando na internet. Hoje (16), o TecMundo recebeu uma lista com dados de 1 milhão de clientes em um documento com 180 MB. Entre os dados, estão: nome completo, número CPF, valor gasto e data da última compra e data de nascimento — além da ordem de compra e SKU (Unidade de Manutenção de Estoque), da própria empresa.
Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e outros
O documento recebido pelo TecMundo foi assinado pelo mesmo hacker que enviou os documentos anteriores: "DFrank". Na época, a suspeita era de que os dados foram obtidos por um golpe de phishing — o cibercriminoso envia um texto armadilha indicando que você ganhou algum prêmio ou dinheiro e, quando você entra nesse link e insere os seus dados sensíveis, os dados são roubados. Contudo, o vazamento sistemático, que no total juntam mais de 1,5 milhão de dados, indicam algum acesso a base de dados da Netshoes.
Sobre o acesso, "DFrank" se limitou a dizer que "explorou vulnerabilidades na plataforma para acessar os dados".
Posicionamento da Netshoes
A Netshoes reafirma que não foram identificados quaisquer indícios de invasão aos sistemas da empresa e segue em constante monitoramento. A Companhia reforça que, a exemplo dos dados divulgados pelo hacker no fim do ano passado, esta nova lista não inclui informações bancárias, de cartões de crédito ou senhas de acesso. Como premissa de sua atuação, a Netshoes reitera o compromisso com a segurança de seus ambientes tecnológicos, a fim de garantir a proteção das informações de sua base de consumidores.
Dados vazados da Netshoes
O que podem fazer com esses tipos de dados
Para um cibercriminoso com um conhecimento considerável, as informações obtidas por "DFrank" podem ser utilizadas para diversos no golpe. Ou seja: não é necessário ter o número da conta corrente e senha para praticar algum golpe.
Um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis
Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".
Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.
O seu nome está na lista?
O TecMundo não vai divulgar a lista por razões óbvias: segurança. Mesmo assim, se você quiser checar o seu nome, você pode conseguir isso de duas maneiras:
- Entre em contato com a Netshoes, eles já possuem a lista e devem fornecer a informação
- Acesse o Have I Been Pwned; o site está atualizado com os vazamentos anteriores da Netshoes e, em breve, deve atualizar com a nova lista de 1 milhão de nomes
- Se o seu nome estiver na lista, você pode consultar um advogado. Além disso, é interessante ficar ligado em possíveis golpes de phishing no seu email ou mensageiros
Categorias