Sistema da VTEX para lojas online expõe dados e preocupa especialistas

Unsplash/Markus Spiske Dados de usuários são expostos

Uma insegurança encontrada nos sistemas da VTEX para lojas online pode funcionar como gatilho para golpistas roubarem dados de usuários. Segundo apuração feita pelo Tecnoblog, é possível ter acesso, de forma parcial, a nome, endereço, número de telefone e cartão de crédito sem a necessidade de fazer login. Drogaria São Paulo e Universal Music Store são exemplos de lojas que usam a ferramenta.

Ao acessar a loja online da Drogaria São Paulo, foi possível notar que, ao finalizar o pagamento, o sistema pede apenas o e-mail de cadastro no site — sem a necessidade de senha para isso. O mesmo aconteceu ao fazer uma compra na Universal Music Store.

Assim que o e-mail é informado pelo usuário, uma série de dados cadastrados anteriormente na plataforma são exibidos de maneira pseudonimizada. Ou seja, parcialmente ocultados por asteriscos.

Vale ressaltar que a plataforma ainda exige o código de verificação do cartão de crédito (CVV) para fechar a compra.

Essa tecnologia é conhecida como SmartCheckout, que promete agilizar o processo de compra em lojas online. Apesar de ser mais prática, a divulgação desses dados — mesmo que ocultados — pode ser um problema.

É aí que mora o perigo

Atualmente, endereços de e-mail circulam livremente pela internet, principalmente após grandes vazamentos de dados ocorridos nos últimos meses.

Um golpista com tempo livre e uma planilha de endereços na mão pode, por exemplo, ter acesso aos sistemas da Drogaria São Paulo e da Universal Music sem qualquer barreira de proteção.

Dessa forma, seria possível entrar em contato com clientes em busca de dados completos — como o de cartão de crédito e CPF.

Isso seria possível com engenharia social — quando um criminoso se passa por alguma pessoa ou empresa para conseguir informações sensíveis e aplicar golpes. Veja um exemplo de mensagem que poderia ser enviada pelos golpistas:

“Fulano de Tal,

Endereço: Aven*****, Orlan*****, São*****/SP
Telefone com final 3566 e e-mail [email protected]

Seu cartão com final 0076 foi usado no Tecnoblog no dia 04/05.
Acesse o link abaixo para confirmar ou contestar a compra.

(link para página falsa)”

Os dados mencionados em negrito podem ser obtidos sem login, apenas informando um e-mail nas lojas que fazem o uso dessa tecnologia.

O que dizem os especialistas

O Tecnoblog entrou em contato com Hector Grecco e Pedro Saliba, pesquisadores e especialistas em segurança da informação, para verificar a segurança do sistema.

“Isso não é nada seguro. Apesar de ocultarem parcialmente as informações, só de o golpista confirmar os quatro últimos dígitos de telefone já é um sinal para um usuário pensar que se trata de um contato legítimo de uma empresa. Se ele sabe seus quatro últimos dígitos do telefone, sabe que você mora em determinada rua e ainda te passa os últimos números do seu cartão de crédito, é possível fazer engenharia social para poder recuperar as informações do cliente. O ideal seria não ter esse checkout apenas com e-mail, mas também exigir uma senha para ter acesso aos dados, mesmo que anonimizados”, afirma Grecco.

Pedro Saliba, pesquisador do Data Privacy Brasil e especialista em vazamentos e golpes cibernéticos, diz que “muitos sites salvam informações básicas para facilitar a vida de consumidores”.

No entanto, “o fato de ter acesso a dados pseudonimizados pode trazer mais riscos por conta da verossimilhança das informações. Ou seja, entrar em contato apontando nome, endereço e o final do cartão de crédito pode simular uma requisição legítima”.

Além disso, o processo de engenharia social citado por Grecco abusa das vulnerabilidades humanas. Pedro também trouxe detalhes sobre esse tipo de golpe.

“Um desafio sobre lidar com golpes digitais é exatamente a criatividade de quem está aplicando e buscando vantagens indevidas, geralmente utilizando técnicas de engenharia social, um método para obtenção de dados e informações digitais. Nesse caso, é relevante observar não apenas a possibilidade de engenharia social, mas a capacidade subjetiva de terceiros para reverter o processo de anonimização empregado. As empresas vão precisar balancear a experiência de usuário com a proteção de dados, adotada desde a concepção dos produtos e serviços”, explica.

VTEX garante que tecnologia é segura

Procurada pelo Tecnoblog, a Drogaria São Paulo encaminhou a nossa solicitação para a própria VTEX, responsável por seu sistema de vendas.

A empresa, por sua vez, informou que a tecnologia conhecida como SmartCheckout apresenta padrão PCI-DSS de segurança em pagamentos, já que os dados do usuário são exibidos de forma anonimizada. “A tecnologia SmartCheckout foi desenvolvida pela VTEX para proporcionar uma maneira rápida e segura de comprar um produto nas lojas online que utilizam nossa plataforma”, disseram.

“Caso um terceiro tente acessar informações de outro consumidor, o dado apresentado é anonimizado de forma certificada pelo padrão PCI-DSS de segurança em pagamentos, ou seja, não representa uma informação completa. A VTEX ressalta que tem como prioridade a segurança das informações de todos que utilizam sua plataforma, e emprega tecnologia de ponta para o monitoramento constante em todos os seus domínios, seguindo todas as regulamentações do setor”, continuaram.

No entanto, a plataforma não se pronunciou sobre a possibilidade de golpistas abusarem do sistema, uma vez que não há necessidade de login para encontrar dados parcialmente cobertos.

Também entramos em contato com a Universal Music, mas não tivemos retorno até o fechamento desta matéria.

O que diz a LGPD

O artigo 12 da Lei Geral de Proteção de Dados Pessoais cita que o “dado anonimizado é aquele que, originariamente, era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa”.

Entretanto, não é isso que acontece nos sistemas da VTEX, visto que é possível reverter o processo. “Um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para descobrir quem era a pessoa titular do dado. Se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD”, diz a lei.

Na dúvida, desconfie!

A criatividade do ser humano é algo incrível, mas também pode ser usada para o mal. Além da necessidade das empresas de oferecerem sistemas seguros ao consumidor, é importante fazer o dever de casa para não cair nesse tipo de golpe.

Inúmeras formas de roubar dados dos usuários são pensadas e executadas todos os dias, por isso, sempre desconfie. Recebeu alguma mensagem que pareça suspeita ou que não faz parte da sua rotina? Nesse caso, a recomendação dos especialistas é entrar em contato diretamente com a empresa ou instituição da suposta mensagem para confirmar a veracidade. Além disso, nunca clique em links suspeitos ou repasse seus dados pessoais, mesmo que a mensagem contenha informações sobre você.

Até porque, com os inúmeros vazamentos de dados que já aconteceram — e ainda acontecem — não é difícil que uma parte de nossas informações sensíveis já esteja nas mãos de outras pessoas.

Fonte: TECNOLOGIA.IG.COM.BR