e-Commerce: vazamento de senhas pode ter ocorrido por phishing ou obtenção indireta, diz VTEX

Para André Uchoa, Chief Enterprise Architect da VTEX, empresa especializada em plataformas de e-commerce na nuvem, há algumas hipóteses válidas para explicar a exposição dos dados de alguns e-commerce brasileiros: a obtenção dos dados pela invasão dos sites afetados, phishing, ou a obtenção dos dados de forma indireta.

Para o especialista, os sites que alertam seus usuários sobre o possível vazamento estão certamente cumprindo uma obrigação relacionada a suas políticas de segurança da informação. "Os que, por sua vez, afirmam que nenhum servidor de suas lojas foi invadido também parecem estar sendo sinceros: é muito improvável que alguém tenha invadido todos esses sites".

"A informação mais próxima de um número de usuários a que tive acesso fala sobre mais de 360 contas comprometidas. Isso é um número baixo considerando a quantidade de usuários de e-commerce no país, especialmente em lojas tão relevantes quanto as afetadas",explica Uchoa, completando que esse número baixo aponta para uma de duas técnicas mais prováveis para a obtenção das senhas: phishing ou obtenção indireta de senha.

"O formato do arquivo encontrado também pode apontar para outra forma de obtenção dos dados. Algum outro site pode ter sido atacado, seja usando phishing ou pela invasão de seus servidores e depois as senhas obtidas podem ter sido testadas em outros sites. No caso, os sites de e-commerce mencionados na notícia. Essa também é uma técnica bastante comum, já que muitos usuários, para ajudar a memória, acabam usando a mesma senha em todos os sites onde têm conta. Uma prática pouco recomendável, mas bastante compreensível, considerado o transtorno que costuma ser realizar uma compra quando você esquece sua senha".

Explica que aos usuários que descobriram seus dados entre os divulgados, ou que desconfiam disso, não resta outra saída a não ser alterar sua senha nesses lugares. A remoção dos dados desse arquivo, a essa altura, não ajuda muito, pois quem estivesse interessado já o guardou. A melhor saída é alterar sua senha, tornando falsa a informação divulgada. "Vale lembrar que, se você usa a mesma senha em outros sites, e bom alterar neles também, mesmo que não estejam entre os divulgados: mais cedo ou mais tarde essa senha pode ser testada lá também", diz.

Plataforma

A VTEX, há quatro anos, lançou o SmartCheckout. Ele propõe uma abordagem nova para as lojas, com um processo de fechamento de compra que consegue manter a segurança do site sem que o usuário precise criar uma senha permanente.

Dessa forma, técnicas como o phishing tornam-se impossíveis, ficando a loja e seus usuários mais seguros do que com uma senha. "Dada a dificuldade em se perceber um ataque por phishing, entendemos que essa é a única forma definitiva de proteger usuários menos treinados, que são a maioria, desse tipo de malfeito: não há senha a ser descoberta de qualquer forma que seja", enfatiza.

 

fonte: http://convergecom.com.br/tiinside/seguranca/18/07/2017/e-commerce-vazam...

Scholarly Lite is a free theme, contributed to the Drupal Community by More than Themes.