Sistema da VTEX para lojas online expõe dados parciais e preocupa especialistas

Pesquisadores apontam que sistema de checkout utilizado por lojas como Drogaria São Paulo e Universal Music pode facilitar golpes por meio de engenharia social

Victor Toledo
• Atualizado há 1 ano
Imagem de capa que contém o desenho de um navegador na cor rosa -- assim como a VTEX --, ícone de cartão de crédito e um cadeado que remete à segurança da informação (Imagem: Guilherme Reis/Tecnoblog)
Sistema de checkout expõe dados parciais em lojas online (Imagem: Guilherme Reis/Tecnoblog)

Uma insegurança encontrada nos sistemas da VTEX para lojas online pode funcionar como gatilho para golpistas roubarem dados de usuários. Segundo apuração feita pelo Tecnoblog, é possível ter acesso, de forma parcial, a nome, endereço, número de telefone e cartão de crédito sem a necessidade de fazer login. Drogaria São Paulo e Universal Music Store são exemplos de lojas que usam a ferramenta. Veja mais detalhes sobre essa história nas linhas a seguir.

Ao acessar a loja online da Drogaria São Paulo, foi possível notar que, ao finalizar o pagamento, o sistema pede apenas o e-mail de cadastro no site — sem a necessidade de senha para isso. O mesmo aconteceu ao fazer uma compra na Universal Music Store.

Assim que o e-mail é informado pelo usuário, uma série de dados cadastrados anteriormente na plataforma são exibidos de maneira pseudonimizada. Ou seja, parcialmente ocultados por asteriscos, como na imagem abaixo.

Sistemas da Drogaria SP e Universal Music (Imagem: Guilherme Reis/Tecnoblog)
Sistemas da Drogaria SP e Universal Music exibem dados ao informar e-mail (Imagem: Guilherme Reis/Tecnoblog)

Vale ressaltar que a plataforma ainda exige o código de verificação do cartão de crédito (CVV) para fechar a compra.

Essa tecnologia é conhecida como SmartCheckout, que promete agilizar o processo de compra em lojas online. Apesar de ser mais prática, a divulgação desses dados — mesmo que ocultados — pode ser um problema.

É aí que mora o perigo

Atualmente, endereços de e-mail circulam livremente pela internet, principalmente após grandes vazamentos de dados ocorridos nos últimos meses.

Um golpista com tempo livre e uma planilha de endereços na mão pode, por exemplo, ter acesso aos sistemas da Drogaria São Paulo e da Universal Music sem qualquer barreira de proteção.

Dessa forma, seria possível entrar em contato com clientes em busca de dados completos — como o de cartão de crédito e CPF.

Isso seria possível com engenharia social — quando um criminoso se passa por alguma pessoa ou empresa para conseguir informações sensíveis e aplicar golpes. Veja um exemplo de mensagem que poderia ser enviada pelos golpistas:

Fulano de Tal,

Endereço: Aven*****, Orlan*****, São*****/SP
Telefone com final 3566 e e-mail tecnoblog@tecnoblog.net.

Seu cartão com final 0076 foi usado no Tecnoblog no dia 04/05.
Acesse o link abaixo para confirmar ou contestar a compra.

(link para página falsa)

Os dados mencionados em negrito podem ser obtidos sem login, apenas informando um e-mail nas lojas que fazem o uso dessa tecnologia.

O que dizem os especialistas

O Tecnoblog entrou em contato com Hector Grecco e Pedro Saliba, pesquisadores e especialistas em segurança da informação, para verificar a segurança do sistema:

“Isso não é nada seguro. Apesar de ocultarem parcialmente as informações, só de o golpista confirmar os quatro últimos dígitos de telefone já é um sinal para um usuário pensar que se trata de um contato legítimo de uma empresa.

Se ele sabe seus quatro últimos dígitos do telefone, sabe que você mora em determinada rua e ainda te passa os últimos números do seu cartão de crédito, é possível fazer engenharia social para poder recuperar as informações do cliente.

O ideal seria não ter esse checkout apenas com e-mail, mas também exigir uma senha para ter acesso aos dados, mesmo que anonimizados.”

Hector Grecco (@hectorgrecco) em resposta ao TB

Pedro Saliba, pesquisador do Data Privacy Brasil e especialista em vazamentos e golpes cibernéticos, diz que “muitos sites salvam informações básicas para facilitar a vida de consumidores”.

No entanto, “o fato de ter acesso a dados pseudonimizados pode trazer mais riscos por conta da verossimilhança das informações. Ou seja, entrar em contato apontando nome, endereço e o final do cartão de crédito pode simular uma requisição legítima.”

Cadeado que faz referência à LGPD (Imagem: Guilherme Reis/Tecnoblog)
Artigo 12 da LGPD cita dados anonimizados (Imagem: Guilherme Reis/Tecnoblog)

Além disso, o processo de engenharia social citado pelo Hector abusa das vulnerabilidades humanas. Pedro também trouxe detalhes sobre esse tipo de golpe:

“Um desafio sobre lidar com golpes digitais é exatamente a criatividade de quem está aplicando e buscando vantagens indevidas, geralmente utilizando técnicas de engenharia social, um método para obtenção de dados e informações digitais.

Nesse caso, é relevante observar não apenas a possibilidade de engenharia social, mas a capacidade subjetiva de terceiros para reverter o processo de anonimização empregado.

As empresas vão precisar balancear a experiência de usuário com a proteção de dados, adotada desde a concepção dos produtos e serviços.”

Pedro Saliba, pesquisador do Data Privacy Brasil e especialista em golpes cibernéticos

VTEX garante que tecnologia é segura

Procurada pelo Tecnoblog, a Drogaria São Paulo encaminhou a nossa solicitação para a própria VTEX, responsável por seu sistema de vendas.

A empresa, por sua vez, informou que a tecnologia conhecida como SmartCheckout apresenta padrão PCI-DSS de segurança em pagamentos, já que os dados do usuário são exibidos de forma anonimizada:

“A tecnologia SmartCheckout foi desenvolvida pela VTEX para proporcionar uma maneira rápida e segura de comprar um produto nas lojas online que utilizam nossa plataforma.

Caso um terceiro tente acessar informações de outro consumidor, o dado apresentado é anonimizado de forma certificada pelo padrão PCI-DSS de segurança em pagamentos, ou seja, não representa uma informação completa.

A VTEX ressalta que tem como prioridade a segurança das informações de todos que utilizam sua plataforma, e emprega tecnologia de ponta para o monitoramento constante em todos os seus domínios, seguindo todas as regulamentações do setor.”

No entanto, a plataforma não se pronunciou sobre a possibilidade de golpistas abusarem do sistema, uma vez que não há necessidade de login para encontrar dados parcialmente cobertos.

Também entramos em contato com a Universal Music, mas não tivemos retorno até o fechamento desta matéria.

Página principal da Drogaria SP (Imagem: Reprodução)
Loja online da Drogaria São Paulo usa VTEX como sistema de vendas (Imagem: Reprodução)

O que diz a LGPD

O artigo 12 da Lei Geral de Proteção de Dados Pessoais cita que o “dado anonimizado é aquele que, originariamente, era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa.”

Entretanto, não é isso que acontece nos sistemas da VTEX, visto que é possível reverter o processo. Como complementa a lei:

“Um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para “descobrir” quem era a pessoa titular do dado.

Se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD.”

Sobre a possibilidade da plataforma infringir o artigo 12, a VTEX afirmou que “o tratamento de dados de pagamento pelo SmartCheckout está plenamente respaldado na LGPD, mais especificamente, na base legal de procedimentos preliminares à execução de contratos – ou seja, são dados essenciais para a compra e a venda em ambiente de ecommerce”.

Além disso, a empresa diz que a anonimização não é essencial para o cumprimento da lei:

“A anonimização não é essencial para o cumprimento da LGPD, pois esta faz inúmeras ressalvas ao padrão “sempre que possível”. Por precaução, o SmartCheckout oculta dados pessoais como nome e endereço, de forma certificada pelo PCI-DSS, padrão internacional mais rígido para meios de pagamentos.

Por fim, salientamos que a VTEX aplica as mais avançadas metodologias de segurança em sua plataforma, como criptografia de dados em repouso e trânsito, além de contar com o monitoramento contínuo através de inteligência artificial na prevenção e resposta autônoma de tentativas de ataques e possíveis vazamentos de dados”.

Na dúvida, desconfie!

A criatividade do ser humano é algo incrível, mas também pode ser usada para o mal. Além da necessidade das empresas de oferecerem sistemas seguros ao consumidor, é importante fazer o dever de casa para não cair nesse tipo de golpe.

Inúmeras formas de roubar dados dos usuários são pensadas e executadas todos os dias, por isso, sempre desconfie.

Recebeu alguma mensagem que pareça suspeita ou que não faz parte da sua rotina?

Nesse caso, a recomendação dos especialistas é entrar em contato diretamente com a empresa ou instituição da suposta mensagem para confirmar a veracidade. Além disso, nunca clique em links suspeitos ou repasse seus dados pessoais, mesmo que a mensagem contenha informações sobre você.

Até porque, com os inúmeros vazamentos de dados que já aconteceram — e ainda acontecem — não é difícil que uma parte de nossas informações sensíveis já esteja nas mãos de outras pessoas.

Com informações: Serpro.gov.br e Planalto.gov.

Atualizado dia 9 de maio de 2022, às 10h37, com novo posicionamento da VTEX

Leia | O que é pharming?

Relacionados

Escrito por

Victor Toledo

Victor Toledo

Analista de conteúdo

Victor Toledo é jornalista formado pela Unesp, com ensino técnico em informática. Antes de entrar para o time do Tecnoblog, em 2021, escreveu sobre informática, eletrônicos e videogames no TechTudo (Editora Globo) e no Zoom. Atua na estratégia de conteúdo e SEO do Tecnoblog. É apaixonado por esportes e passa boa parte do tempo livre em simuladores de corrida e assistindo todo e qualquer tipo de esporte na TV.