Calma: não houve vazamento em massa de senhas dos sites de e-commerce brasileiros
Recomendação equivocada diz que você deveria trocar suas senhas no Pontofrio, Casas Bahia, Netshoes e outras lojas
Um suposto vazamento de senhas preocupou a internet brasileira na noite desta segunda-feira (17): de acordo com uma publicação em um site de tecnologia, uma lista com 360 senhas dos principais sites de e-commerce do Brasil, como Netshoes, Extra, Centauro e Casas Bahia, foi parar na internet e, portanto, você deveria trocar suas senhas em todos esses serviços. Será mesmo? Calma que a gente explica.
O veículo afirma que “não disponibilizará o arquivo para visualização, visto que poderia ser utilizado por cibercriminosos”, mas informou o site no qual as listas foram publicadas, o Pastebin. Como o serviço possui uma ferramenta de busca, usuários com conhecimento básico de tecnologia podem acessar os arquivos. O Tecnoblog apurou que as listas foram vistas pelo menos 9 mil vezes depois da publicação da notícia.
O suposto vazamento
As listas, às quais tivemos acesso, não possuem indícios de que houve vazamento em massa, único motivo pelo qual seria válida a recomendação urgente do veículo de que “caso você tenha alguma conta registrada em um destes serviços, troque agora a senha”.
Vazamentos são caracterizados pela invasão de sistemas — quando alguém acessa indevidamente um banco de dados e, com isso, obtém grandes quantidades de informações. Não é o caso das 360 senhas publicadas.
Além disso, a pouca ou nenhuma similaridade entre as plataformas utilizadas pelos sites afetados mencionados pelo veículo (Pontofrio e HostGator; iRecarga e BOL; Zipmail e Casas Bahia; entre outros pares) torna improvável que tenha havido um vazamento desses sites, já que o atacante não poderia se aproveitar do mesmo exploit.
O Tecnoblog apurou ainda que as listas estão em um formato peculiar, com itens separados por pipes (“|”) e apresentando aspas ou maiúsculas em itens específicos. Essa formatação é adotada por uma ferramenta utilizada por hackers que verifica automaticamente, dado um banco existente de logins e senhas, quais são validadas em quais sites.
A ferramenta funciona porque muitos usuários reaproveitam suas senhas em vários serviços, e já houve vazamentos grandes no passado, como os do Yahoo e LinkedIn. Com bilhões de senhas vazadas de serviços estrangeiros no passado, fatalmente algumas das combinações funcionarão nos sites das lojas online brasileiras.
O que dizem as empresas
A Antecipe, empresa de segurança que notificou o veículo sobre as listas, diz ao Tecnoblog: “Recentemente estamos acompanhando algumas campanhas de phishing que estão ocorrendo dessas empresas na internet. Pela pouca quantidade de credenciais acreditamos que esses dados possam ter vindo de um phishing”. No Facebook, a empresa também afirma suspeitar que a origem das senhas seja phishing, e “não uma invasão direta nos servidores dessas empresas”.
Procuramos as maiores empresas mencionadas na notícia em questão para se pronunciarem sobre as listas de senhas.
O Grupo Netshoes informa em comunicado, por meio da assessoria de imprensa, que “não sofreu ataque à sua base de dados e que as informações de seus clientes cadastrados seguem em segurança”.
A Via Varejo também nega o vazamento ao Tecnoblog. “A Via Varejo, responsável pela administração dos sites Casas Bahia, Pontofrio e Extra, esclarece que nenhum dos seus sistemas sofreu invasão ou alterações e reforça que segue as melhores práticas de segurança da informação adotadas no país”, disse a empresa.
Outra negativa veio da Centauro. Em nota, a loja “afirma que as informações de seus clientes estão asseguradas na base de dados da empresa, a qual não sofreu qualquer tipo de ataque”.
Além disso, “a HostGator informa que não houve nenhum tipo de ataque e que todas as informações de clientes armazenadas estão em segurança”.
Sem motivo para pânico
Então você já sabe: se não digitou sua senha em nenhum lugar suspeito, não precisa perder vários minutos do dia entrando em cada loja online para mudar suas credenciais. A melhor recomendação é verificar se alguma senha sua já vazou anteriormente, em serviços como o Have I Been Pwned, e utilizar um gerenciador de senhas para evitar reaproveitar as mesmas combinações em vários sites.
***
O TB Verifica é uma seção que desmente informações equivocadas do noticiário de tecnologia. Confira os outros artigos.