Nota sobre o vazamento de dados dos principais e-commerce do Brasil
Ontem (17) o Tecmundo (link) anunciou ter recebido um arquivo disponibilizado em um site de compartilhamento de dados (Pastebin) uma lista de nomes e senhas de usuários dos principais sites de e-commerce do Brasil, como Netshoes, Centauro, PagSeguro, Casas Bahia, entre outros.
Apesar da gravidade da situação queremos fazer algumas ressalvas a ponto de tranquilizar o público que pode estar nesse momento se questionando quanto a segurança de seus dados nesses e-commerce e principalmente em lojas menores.
Analisando a situação apresentada, podemos primeiramente perceber que foram disponibilizadas poucas contas, pouco mais de 360, o que é um número relativamente baixo para esse tipo de vazamento. Normalmente para provar a veracidade dos atos, hackers costumam disponibilizar a listagem completa de usuários, como aconteceu quando vazaram o banco de dados do Snapchat (link). Outro fator que é importante notarmos é que são diversos sites diferentes, todos grandes players do mercado, utilizando plataformas e tecnologias diferentes, o que diminui ainda mais as chances de terem sido realmente hackeados. É claro, não vamos e nem queremos que você ignore o alerta emitido pelo Tecmundo, ainda a melhor coisa a fazer é prevenir realizando a atualização de sua senha e até cancelando qualquer cartão de crédito salvo nessas lojas, porém um outro fator que nos leva a acreditar que a segurança das lojas NÃO foi de fato comprometidas é que as senhas estão à mostra, o que é muito estranho já que é uma prática comum que as senhas sejam armazenadas de forma criptografada. Esse último ponto é muito importante pois a que tudo indica tudo não passa de um Hoax, caso se prove verdadeiro o vazamento a falha seria gravíssima e muito amadora, coisa que não acreditamos que possa ocorrer de forma sistemática em todas as lojas que foram informadas.
Entenda como funciona a criptografia das senhas
Para os leigos o assuntos pode parecer complicado, porém qualquer profissional da área que já tenha trabalhado com bancos de dados e sistemas de login sabem o quão básico é o procedimento de criptografia de senhas de usuários. Tentaremos explicar de forma que o público geral consiga entender com mais facilidade, ignorando alguma tecnicalidades como salto de senha, tipos de algoritmos de criptografia, etc.
Imagine assim, quando você cadastra sua conta em um loja aquela sua senha digitada antes de ser armazenada no banco de dados é criptografada. Essa transformação faz com que aquela sua senha se torne uma sequência de caracteres completamente diferente da senha real. Exemplo abaixo de uma senha criptografada utilizando o algoritmo sha-1:
Saber essa nova sequência não é o suficiente para acessar sua conta por que toda vez que é realizado o processo de login a senha que você informa precisa ser criptografa a depois comparada com a senha armazenada, ou seja, sem saber qual a senha verdadeira não é possível saber qual o correspondente criptografado. Teoricamente não é totalmente impossível, porém para “quebrar” uma senha que foi criptografada seria necessário muito poder de processamento, coisa que levaria anos até nos mais poderosos super computadores do mundo. É uma questão matemática.
Existem alguns motivos bem simples do por que a senhas são criptografadas para serem então armazenadas. O primeiro motivo é que para que os colaboradores dessas empresas não tenham acesso a essa informação que poderia levar a diversos problemas e o segundo motivo é que caso aconteça um vazamento sua senha não seja comprometida e logo impeça assim o invasor de usar dessa informação para acessar sua conta.
O que pode ter acontecido então?
Grande chance que as contas vazadas tenham sido capturadas através de algum tipo de software malicioso, como Vírus, Trojans, Keyloggers, etc. Existe também a chance de serem contas criadas para gerar um alarme falso ou até contas falsas utilizadas para fraudes. De qualquer forma aconselhamos você a alterar sua senha, antes de mais nada é a medida mais simples que pode garantir um sono mais tranquilo. Fique também de olho nas notícias para atualizações sobre o ocorrido, até que se saiba mais é melhor ficar atento para evitar contratempos e não subestimar ou ignorar o acontecido. Ah, não esqueça também de não utilizar senhas fáceis como datas ou sequências de fácil adivinhação.
Posicionamento CheckStore
A CheckStore segue o padrão em segurança, mantendo a senhas criptografadas e não armazenando dados de pagamento como números de cartões de crédito. Até o momento não encontramos qualquer comprometimento de informações armazenadas por nós ou por nossos parceiros. Estamos atentos aos fornecedores de tecnologias como Magento, Shopify, PagSeguro, Moip, entre outros para qualquer nova informação sobre o ocorrido.
Posicionamento das Lojas
Até a manhã dessa terça-feira (18) algumas loja já haviam se posicionado sobre o ocorrido, citamos aqui o posicionamento dessas lojas postado originalmente pelo Tecmundo (link):
Posicionamento Netshoes
“A Netshoes informa que não sofreu ataque à sua base de dados e que as informações de seus clientes cadastrados seguem em segurança. A preocupação com segurança de dados é um tema recorrente na companhia e a Netshoes reforça seu compromisso em garantir a proteção das informações de seus clientes”
Posicionamento Centauro
“A Centauro afirma que as informações de seus clientes estão asseguradas na base de dados da empresa, a qual não sofreu qualquer tipo de ataque. A companhia garante ainda que sua loja virtual é um site seguro e seus clientes podem seguir contando com o comprometimento da empresa na proteção de seus dados“.