A história do vazamento de dados de clientes da Netshoes teve início no final de 2017 e, quase na metade de 2018, parece que ainda não teve fim. Após o Ministério Público do Distrito Federal e Territórios recomendar à Netshoes diversas ações para alertar clientes e a própria empresa reconhecer o caso ao governo dos Estados Unidos (Securities and Exchange Comission — SEC), o TecMundo recebeu nesta quarta-feira (18) um novo documento com dados de 2,5 milhões de clientes do ecommerce.
Os dados são os mesmos encontrados em vazamentos anteriores: nome completo, número CPF, número do telefone, valor gasto, data da última compra e data de nascimento — além da ordem de compra e SKU (Unidade de Manutenção de Estoque), da própria Netshoes.
Não é necessário ter o número da conta corrente e senha para praticar algum golpe
O documento recebido pelo TecMundo foi assinado por um grupo chamado Armada Collective, que provavelmente envolve o hacker 'DFrank', que enviou os documentos anteriores. Na época, a suspeita era de que os dados foram obtidos por um golpe de phishing — o cibercriminoso envia um texto armadilha indicando que você ganhou algum prêmio ou dinheiro e, quando você entra nesse link e insere os seus dados sensíveis, os dados são roubados. Contudo, o vazamento sistemático, que no total juntam mais de 2,5 milhões de dados, indicam algum acesso a base de dados da Netshoes.
Posicionamento da Netshoes:
"A Netshoes esclarece que, diante da informação acerca de um suposto novo vazamento de dados de consumidores da companhia, trata-se do mesmo evento, já reportado em dezembro de 2017, contemplando o mesmo nível de informação e sem quaisquer informações relacionadas a dados bancários, cartões de crédito ou senhas.
A companhia reforça que, por meio de auditoria e investigações, foi apurado que não há indícios de invasão ao seu ambiente tecnológico e que todas as medidas cabíveis foram tomadas. Ainda, ressalta que adota rigorosos padrões para garantir seu compromisso com a segurança da informação de seus clientes e que o caso segue sob investigação da Polícia Federal."
Trecho do novo arquivo vazado
O que podem fazer com esses tipos de dados
Para um cibercriminoso com um conhecimento considerável, as informações obtidas por "DFrank" podem ser utilizadas para diversos no golpe. Ou seja: não é necessário ter o número da conta corrente e senha para praticar algum golpe.
Um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis
Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".
Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.
O seu nome está na lista?
O TecMundo não vai divulgar a lista por razões óbvias: segurança. Mesmo assim, se você quiser checar o seu nome, você pode conseguir isso de duas maneiras:
- Entre em contato com a Netshoes, eles já possuem a lista e devem fornecer a informação
- Acesse o Have I Been Pwned; o site está atualizado com os vazamentos anteriores da Netshoes e, em breve, deve atualizar com a nova lista de 1 milhão de nomes
- Se o seu nome estiver na lista, você pode consultar um advogado. Além disso, é interessante ficar ligado em possíveis golpes de phishing no seu email ou mensageiros
Categorias