Especialista confirma vazamento de senhas de e-commerce no Brasil

Silvia Bassi
17/07/2017 - 19h55
Segundo Paulo Brito, arquivos publicados no Pastebin, entre domingo (15/07) e segunda (16/07) listam mais de 1,8 mil senhas de sites brasileiros de comércio eletrônico

[UPDATE 3] - Entre domingo (15/07), e segunda-feira (17/07), cibercriminosos estão publicando arquivos com centenas de senhas de usuários de sites de e-commerce brasileiros no serviço de publicação de textos Pastebin, possivelmente como resultado de práticas de phishing. 

Segundo o especialista em segurança da informação, Paulo Brito, que identificou o primeiro vazamento no domingo, o número de senhas e nomes de usuários passava de 800. Um segundo lote, identificado pela consultoria de segurança ANTECIPE, soma outras 1.040 credenciais, todas organizadas em listas contendo muitas vezes nomes, e-mail, e CPF

A  lista de sites inclui logins de usuários de empresas como Magazine Luiza, Extra, Ponto Frio, Netshoes, Casas Bahia, Centauro, Extra, PagSeguro, ingresso.com, Zipmail e HostGator, entre outros. Alguns lotes são grandes, com várias centenas de nomes, e outros muito pequenos, com dois ou três nomes. As maiores listas incluem Magazine Luiza, PagSeguro, Casas Bahia, Ponto Frio e Extra. O formato dessas listas reforça a suspeita de que se trata de uma compilação de resultado de ataques de phishing contra usuários individuais.

As empresas que tiveram nomes envolvidos nas listas se apressaram em dizer que não registraram nenhum vazamento ou ataque às suas bases de dados. A área de comunicação institucional do grupo Via Varejo enviou para a redação, por e-mail, um comunicado oficial sobre o incidente: "A Via Varejo, responsável pela administração dos sites Casas Bahia, Pontofrio e Extra, esclarece que nenhum dos seus sistemas sofreu invasão ou alterações e reforça que segue as melhores práticas de segurança da informação adotadas no país.". 

Da mesma forma, a HostGator enviou por email comunicado oficial informando que "não houve nenhum tipo de ataque e que todas as informações de clientes armazenadas estão em segurança. A proteção dos dados é um tema sempre presente na empresa e a HostGator reforça seu comprometimento em manter sempre os dados dos clientes em segurança".

Por e-mail, o PagSeguro esclareceu que "não houve quebra de sigilo de nenhum dado de seus clientes. É falsa a informação veiculada em redes sociais. O PagSeguro reforça ainda que disponibiliza ambiente seguro para as transações, e que também ajuda seus clientes na prevenção de fraudes na internet, por meio de um material educativo disponível em https://pagseguro.uol.com.br/dicas-de-seguranca-online.jhtml".

Já a Netshoes informa, por meio de comunicado, que não sofreu ataque à sua base de dados e que as informações de seus clientes cadastrados seguem em segurança. "A preocupação com segurança de dados é um tema recorrente na companhia e a Netshoes reforça seu compromisso em garantir a proteção das informações de seus clientes."

Centenas de nomes

"Na manhã de domingo encontrei um vazamento grande de logins, senhas, nomes, e CPFs de clientes do Magazine Luiza, Ponto Frio, PagSeguro, e Extra no Pastebin. Só do Magazine Luiza eram mais de 500 senhas e do Ponto Frio outras tantas 194", explicou Brito. O especialista diz que testou as senhas, verificou que eram verdadeiras e entrou em contato com o Magazine Luiza, GPA e UOL. "O pessoal do Magazine Luiza pediu ao Pastebin para tirar o arquivo do ar", diz Paulo Brito.

O vazamento, segundo Brito, parecia recente, "menos de 24 horas", "mas também poderia ter sido copiado de alguma coisa mais antiga". 

"Se você tem login em desses lugares entre lá e mude a senha JÁ. Se não conseguir entrar é porque a sua senha foi mudada por outra pessoa. Nesse caso, use o "perdi minha senha", o telefone ou qualquer outro recurso porque o problema pode ser grande. Corra antes que os bandidos também achem a lista", alerta Brito

Paulo Brito explica que a publicação de lotes de senhas no Pastebin é um tipo de isca para atrair interessados em comprar lotes maiores que o cibercriminoso tenha em mãos. "O que acontece é que os bandidos vão guardando, montando as listas e de vez em quando publicam parte delas para que outros comprem - é propaganda. Quem compra pega esses dados, altera o endereço de entrega da mercadoria, altera o email (para o dono da conta não ser notificado de nada), pega um cartão roubado e faz a compra", diz Brito. 

Em comunicado, a consultoria Antecipe explica que a forma como as senhas  e dados estavam organizados indica uso de phishing, quando cibercriminosos levam usuários a informar senha e login de diferentes sites usando e-mails ou sites falsos que parecem com os originais. De qualquer forma, o ideal é trocar a senha, uma prática que, independente de problemas como esse, deveria ser adotada regularmente por usuários de internet.