Início » Antivírus e Segurança » Calma: não houve vazamento em massa de senhas dos sites de e-commerce brasileiros

Calma: não houve vazamento em massa de senhas dos sites de e-commerce brasileiros

Recomendação equivocada diz que você deveria trocar suas senhas no Pontofrio, Casas Bahia, Netshoes e outras lojas

Paulo Higa Por

Um suposto vazamento de senhas preocupou a internet brasileira na noite desta segunda-feira (17): de acordo com uma publicação em um site de tecnologia, uma lista com 360 senhas dos principais sites de e-commerce do Brasil, como Netshoes, Extra, Centauro e Casas Bahia, foi parar na internet e, portanto, você deveria trocar suas senhas em todos esses serviços. Será mesmo? Calma que a gente explica.

O veículo afirma que “não disponibilizará o arquivo para visualização, visto que poderia ser utilizado por cibercriminosos”, mas informou o site no qual as listas foram publicadas, o Pastebin. Como o serviço possui uma ferramenta de busca, usuários com conhecimento básico de tecnologia podem acessar os arquivos. O Tecnoblog apurou que as listas foram vistas pelo menos 9 mil vezes depois da publicação da notícia.

O suposto vazamento

As listas, às quais tivemos acesso, não possuem indícios de que houve vazamento em massa, único motivo pelo qual seria válida a recomendação urgente do veículo de que “caso você tenha alguma conta registrada em um destes serviços, troque agora a senha”.

Vazamentos são caracterizados pela invasão de sistemas — quando alguém acessa indevidamente um banco de dados e, com isso, obtém grandes quantidades de informações. Não é o caso das 360 senhas publicadas.

Além disso, a pouca ou nenhuma similaridade entre as plataformas utilizadas pelos sites afetados mencionados pelo veículo (Pontofrio e HostGator; iRecarga e BOL; Zipmail e Casas Bahia; entre outros pares) torna improvável que tenha havido um vazamento desses sites, já que o atacante não poderia se aproveitar do mesmo exploit.

O Tecnoblog apurou ainda que as listas estão em um formato peculiar, com itens separados por pipes (“|”) e apresentando aspas ou maiúsculas em itens específicos. Essa formatação é adotada por uma ferramenta utilizada por hackers que verifica automaticamente, dado um banco existente de logins e senhas, quais são validadas em quais sites.

A ferramenta funciona porque muitos usuários reaproveitam suas senhas em vários serviços, e já houve vazamentos grandes no passado, como os do Yahoo e LinkedIn. Com bilhões de senhas vazadas de serviços estrangeiros no passado, fatalmente algumas das combinações funcionarão nos sites das lojas online brasileiras.

O que dizem as empresas

A Antecipe, empresa de segurança que notificou o veículo sobre as listas, diz ao Tecnoblog: “Recentemente estamos acompanhando algumas campanhas de phishing que estão ocorrendo dessas empresas na internet. Pela pouca quantidade de credenciais acreditamos que esses dados possam ter vindo de um phishing”. No Facebook, a empresa também afirma suspeitar que a origem das senhas seja phishing, e “não uma invasão direta nos servidores dessas empresas”.

Procuramos as maiores empresas mencionadas na notícia em questão para se pronunciarem sobre as listas de senhas.

O Grupo Netshoes informa em comunicado, por meio da assessoria de imprensa, que “não sofreu ataque à sua base de dados e que as informações de seus clientes cadastrados seguem em segurança”.

A Via Varejo também nega o vazamento ao Tecnoblog. “A Via Varejo, responsável pela administração dos sites Casas Bahia, Pontofrio e Extra, esclarece que nenhum dos seus sistemas sofreu invasão ou alterações e reforça que segue as melhores práticas de segurança da informação adotadas no país”, disse a empresa.

Outra negativa veio da Centauro. Em nota, a loja “afirma que as informações de seus clientes estão asseguradas na base de dados da empresa, a qual não sofreu qualquer tipo de ataque”.

Além disso, “a HostGator informa que não houve nenhum tipo de ataque e que todas as informações de clientes armazenadas estão em segurança”.

Sem motivo para pânico

Então você já sabe: se não digitou sua senha em nenhum lugar suspeito, não precisa perder vários minutos do dia entrando em cada loja online para mudar suas credenciais. A melhor recomendação é verificar se alguma senha sua já vazou anteriormente, em serviços como o Have I Been Pwned, e utilizar um gerenciador de senhas para evitar reaproveitar as mesmas combinações em vários sites.

***

O TB Verifica é uma seção que desmente informações equivocadas do noticiário de tecnologia. Confira os outros artigos.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

johndoe1981

Por isso só acesso o Tecnoblog, Meio Bit e o Adrenaline, o resto é resto.

Cássio Amaral
Por isso só acesso o Tecnoblog, Meio Bit e o Adrenaline, o resto é resto.
João

Na da matéria só tem 300 e poucas.

Joaomanoel
Na da matéria só tem 300 e poucas.
Márcio Chaves
"Felipe Payão" kkkkkk aqui em SP uma "paia" é uma mentira, ou seja, um "paiudo", "paiudão" é um mentiroso, agora tem "paião" hahahahahahaha
Dente Vermelho
Tive acesso ao site q tinha as contas e por mais incrível q pareça, tem gente q usa a senha "123456" o.O A maioria das contas ainda funcionam e alguns amigos do reddit estão mudando a senha e enviando a senha nova pro e-mail da vítima a fim de evitar acesso de outras pessoas.... O problema quando é o e-mail da pessoa q está 'vazado'
Dente Vermelho
Cara a maioria das contas vazadas desde o mês passado funciona e algumas possuem histórico de compras... Sei não hein... https://uploads.disquscdn.com/images/ec7d3d6842f97b92631ca33e71e2c47d0f433da3ae63a2b109cfd061742f081c.png
Dente Vermelho
Certeza? (mais de 22 mil vazadas e a maioria funciona) https://uploads.disquscdn.com/images/7e1880a6d0bca564c762717c4ead6ff815f335a44b2cc8773b4d5864c85da572.png
Adriano
Espero que possamos discutir outras matérias em breve. Abraço.??
Marcus Araújo
Então tá.
Adriano
Cara, eu não estou preocupado nem com "falta de profissionalismo" do TB, tampouco com a "falha de caráter" do TM. Na verdade, nada disso me incomoda pois tenho discernimento o suficiente para separar o que presta daquilo que não presta. O que fiz, foi apenas uma observação pontual que considerei pertinente. Somente isso.
Rafael
https://uploads.disquscdn.com/images/06ffaafcc44f1a643a3902a3b5421413d948dab0b657684e4d8d3a102491d239.jpg
Marcus Araújo
Sim, mas enquanto você se preocupa com a "falta de profissionalismo" do TB, que não gerou prejuízo a ninguém, me preocupo com o amadorismo do TecMundo, que pode ocasionar a perda de várias vendas pelas lojas mencionadas na matéria ao ter colocado em cheque a segurança ao comprar nessas lojas, quando na verdade não houve vazamentos e mesmo assim não houve retratação/retificação da informação incorretamente e irresponsavelmente divulgada por eles em tom de fim do mundo. Pelo contrário, resolveram lançar uma série de reportagens que não possui ligação direta com o fato para angariar uns clicks. Percebe a diferença de postura? Para o TB, o assunto já foi esclarecido e já foi enterrado. Para o TM, a alfinetada dada virou motivo pra gerar receita com clicks. Questões de prioridade, né... Por isso, ainda que tenha sido proposital as alfinetadas do TB, repito (pela terceira vez) que o TecMundo mereceu, e foi até pouco. Na minha opinião, veículos que promovem irresponsavelmente esse tipo de coisa equivocada e ainda por cima se negam a prestar esclarecimentos merecem toda a exposição vexatória que lhes cabem. Esse tipo de atitude do TB, ao contrário do amadorismo deles, não mexe com o bolso de ninguém, só com o ego de quem se diz jornalista e não faz o básico que é checar os fatos.
Jefferson Bonatto
Se vazou ou não eu não sei, só sei que dia 15/07 eu fui obrigado a trocar minha senha do mercado pago, tentaram carregar celular, pagar conta e até enviar dinheiro, tudo isso em menos de cinco minutos, por sorte não havia dinheiro na carteira e os cartões estavam errados, o número da pessoa que tentou a recarga é do RJ e a conta da transferência é de Goiás. Conclusão, na dúvida é melhor se precaver, vazado ou não temos que estar preparados para ataques, que serão cada dia mais frequente e mais eficaz...
Adriano
Por favor, leia meu último comentário direcionado ao "Ligeiro", logo abaixo. Ele serve para você que também está batendo na tecla do fact-check como se esta fosse a tônica da discussão.
Exibir mais comentários