Sistema da VTEX para lojas online expõe dados parciais e preocupa especialistas
Pesquisadores apontam que sistema de checkout utilizado por lojas como Drogaria São Paulo e Universal Music pode facilitar golpes por meio de engenharia social
Pesquisadores apontam que sistema de checkout utilizado por lojas como Drogaria São Paulo e Universal Music pode facilitar golpes por meio de engenharia social
Uma insegurança encontrada nos sistemas da VTEX para lojas online pode funcionar como gatilho para golpistas roubarem dados de usuários. Segundo apuração feita pelo Tecnoblog, é possível ter acesso, de forma parcial, a nome, endereço, número de telefone e cartão de crédito sem a necessidade de fazer login. Drogaria São Paulo e Universal Music Store são exemplos de lojas que usam a ferramenta. Veja mais detalhes sobre essa história nas linhas a seguir.
Ao acessar a loja online da Drogaria São Paulo, foi possível notar que, ao finalizar o pagamento, o sistema pede apenas o e-mail de cadastro no site — sem a necessidade de senha para isso. O mesmo aconteceu ao fazer uma compra na Universal Music Store.
Assim que o e-mail é informado pelo usuário, uma série de dados cadastrados anteriormente na plataforma são exibidos de maneira pseudonimizada. Ou seja, parcialmente ocultados por asteriscos, como na imagem abaixo.
Vale ressaltar que a plataforma ainda exige o código de verificação do cartão de crédito (CVV) para fechar a compra.
Essa tecnologia é conhecida como SmartCheckout, que promete agilizar o processo de compra em lojas online. Apesar de ser mais prática, a divulgação desses dados — mesmo que ocultados — pode ser um problema.
Atualmente, endereços de e-mail circulam livremente pela internet, principalmente após grandes vazamentos de dados ocorridos nos últimos meses.
Um golpista com tempo livre e uma planilha de endereços na mão pode, por exemplo, ter acesso aos sistemas da Drogaria São Paulo e da Universal Music sem qualquer barreira de proteção.
Dessa forma, seria possível entrar em contato com clientes em busca de dados completos — como o de cartão de crédito e CPF.
Isso seria possível com engenharia social — quando um criminoso se passa por alguma pessoa ou empresa para conseguir informações sensíveis e aplicar golpes. Veja um exemplo de mensagem que poderia ser enviada pelos golpistas:
Fulano de Tal,
Endereço: Aven*****, Orlan*****, São*****/SP
Telefone com final 3566 e e-mail tecnoblog@tecnoblog.net.Seu cartão com final 0076 foi usado no Tecnoblog no dia 04/05.
Acesse o link abaixo para confirmar ou contestar a compra.(link para página falsa)
Os dados mencionados em negrito podem ser obtidos sem login, apenas informando um e-mail nas lojas que fazem o uso dessa tecnologia.
O Tecnoblog entrou em contato com Hector Grecco e Pedro Saliba, pesquisadores e especialistas em segurança da informação, para verificar a segurança do sistema:
“Isso não é nada seguro. Apesar de ocultarem parcialmente as informações, só de o golpista confirmar os quatro últimos dígitos de telefone já é um sinal para um usuário pensar que se trata de um contato legítimo de uma empresa.
Se ele sabe seus quatro últimos dígitos do telefone, sabe que você mora em determinada rua e ainda te passa os últimos números do seu cartão de crédito, é possível fazer engenharia social para poder recuperar as informações do cliente.
O ideal seria não ter esse checkout apenas com e-mail, mas também exigir uma senha para ter acesso aos dados, mesmo que anonimizados.”
Hector Grecco (@hectorgrecco) em resposta ao TB
Pedro Saliba, pesquisador do Data Privacy Brasil e especialista em vazamentos e golpes cibernéticos, diz que “muitos sites salvam informações básicas para facilitar a vida de consumidores”.
No entanto, “o fato de ter acesso a dados pseudonimizados pode trazer mais riscos por conta da verossimilhança das informações. Ou seja, entrar em contato apontando nome, endereço e o final do cartão de crédito pode simular uma requisição legítima.”
Além disso, o processo de engenharia social citado pelo Hector abusa das vulnerabilidades humanas. Pedro também trouxe detalhes sobre esse tipo de golpe:
“Um desafio sobre lidar com golpes digitais é exatamente a criatividade de quem está aplicando e buscando vantagens indevidas, geralmente utilizando técnicas de engenharia social, um método para obtenção de dados e informações digitais.
Nesse caso, é relevante observar não apenas a possibilidade de engenharia social, mas a capacidade subjetiva de terceiros para reverter o processo de anonimização empregado.
As empresas vão precisar balancear a experiência de usuário com a proteção de dados, adotada desde a concepção dos produtos e serviços.”
Pedro Saliba, pesquisador do Data Privacy Brasil e especialista em golpes cibernéticos
Procurada pelo Tecnoblog, a Drogaria São Paulo encaminhou a nossa solicitação para a própria VTEX, responsável por seu sistema de vendas.
A empresa, por sua vez, informou que a tecnologia conhecida como SmartCheckout apresenta padrão PCI-DSS de segurança em pagamentos, já que os dados do usuário são exibidos de forma anonimizada:
“A tecnologia SmartCheckout foi desenvolvida pela VTEX para proporcionar uma maneira rápida e segura de comprar um produto nas lojas online que utilizam nossa plataforma.
Caso um terceiro tente acessar informações de outro consumidor, o dado apresentado é anonimizado de forma certificada pelo padrão PCI-DSS de segurança em pagamentos, ou seja, não representa uma informação completa.
A VTEX ressalta que tem como prioridade a segurança das informações de todos que utilizam sua plataforma, e emprega tecnologia de ponta para o monitoramento constante em todos os seus domínios, seguindo todas as regulamentações do setor.”
No entanto, a plataforma não se pronunciou sobre a possibilidade de golpistas abusarem do sistema, uma vez que não há necessidade de login para encontrar dados parcialmente cobertos.
Também entramos em contato com a Universal Music, mas não tivemos retorno até o fechamento desta matéria.
O artigo 12 da Lei Geral de Proteção de Dados Pessoais cita que o “dado anonimizado é aquele que, originariamente, era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa.”
Entretanto, não é isso que acontece nos sistemas da VTEX, visto que é possível reverter o processo. Como complementa a lei:
“Um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para “descobrir” quem era a pessoa titular do dado.
Se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD.”
Sobre a possibilidade da plataforma infringir o artigo 12, a VTEX afirmou que “o tratamento de dados de pagamento pelo SmartCheckout está plenamente respaldado na LGPD, mais especificamente, na base legal de procedimentos preliminares à execução de contratos – ou seja, são dados essenciais para a compra e a venda em ambiente de ecommerce”.
Além disso, a empresa diz que a anonimização não é essencial para o cumprimento da lei:
“A anonimização não é essencial para o cumprimento da LGPD, pois esta faz inúmeras ressalvas ao padrão “sempre que possível”. Por precaução, o SmartCheckout oculta dados pessoais como nome e endereço, de forma certificada pelo PCI-DSS, padrão internacional mais rígido para meios de pagamentos.
Por fim, salientamos que a VTEX aplica as mais avançadas metodologias de segurança em sua plataforma, como criptografia de dados em repouso e trânsito, além de contar com o monitoramento contínuo através de inteligência artificial na prevenção e resposta autônoma de tentativas de ataques e possíveis vazamentos de dados”.
A criatividade do ser humano é algo incrível, mas também pode ser usada para o mal. Além da necessidade das empresas de oferecerem sistemas seguros ao consumidor, é importante fazer o dever de casa para não cair nesse tipo de golpe.
Inúmeras formas de roubar dados dos usuários são pensadas e executadas todos os dias, por isso, sempre desconfie.
Recebeu alguma mensagem que pareça suspeita ou que não faz parte da sua rotina?
Nesse caso, a recomendação dos especialistas é entrar em contato diretamente com a empresa ou instituição da suposta mensagem para confirmar a veracidade. Além disso, nunca clique em links suspeitos ou repasse seus dados pessoais, mesmo que a mensagem contenha informações sobre você.
Até porque, com os inúmeros vazamentos de dados que já aconteceram — e ainda acontecem — não é difícil que uma parte de nossas informações sensíveis já esteja nas mãos de outras pessoas.
Com informações: Serpro.gov.br e Planalto.gov.
Atualizado dia 9 de maio de 2022, às 10h37, com novo posicionamento da VTEX
Leia | O que é pharming?