Pela segunda vez em 12 meses encontrei um lote de logins e senhas expostos na internet. E isso não é excepcional. Se eu procurasse todos os dias, todos os dias eu iria encontrar, mesmo não sendo especialista nisso. O lote de hoje tinha 222 linhas, ou seja, dados de 222 clientes do Magazine Luíza. Mas é possível achar de várias outras operações de comércio eletrônico: Ponto Frio, Casas Bahia, Mercado Livre… É só saber onde procurar.A lista que eu encontrei foi publicada originalmente no Pastebin, uma espécie de mural onde cada um coloca absolutamente o que quiser. Como tem dados sensíveis, ela já havia sido removida do site, mas mesmo assim eu pude achar. Como? Porque ela continuava exposta pelo Google no “Google Cache”. Pelo menos até hoje pela manhã.
A lista encontrada tinha bem mais do que login e senha: cada conjunto continha nome completo, CPF, data de nascimento, estado de residência e número de celular. E quem acessasse o cadastro no site do Magazine poderia ver o restante dos dados, como o endereço, por exemplo.
Como no ano passado, depois de achar o lote entrei em contato com o gerente da área de segurança da empresa, informei-o e enviei a ele os dados, para que pudesse bloquear as contas e solicitar aos clientes a mudança de senha.
Informação importante: não é um vazamento de dados do Magazine. Esses dados são obtidos por cibercriminosos por meio de phishing, um esquema de fraude que funciona assim:
1) os criminosos criam na internet um site igualzinho ao da loja
2) fazem uma campanha de spam com “ofertas” irresistíveis (tipo 70% de desconto) pedindo que os clientes do façam acesso com login para ver as ofertas;
3) nesse login os cibercriminosos capturam as credenciais (usuário e senha) que o cliente usa na loja oficial e pronto.
E agora você quer saber por que esses dados estavam na Internet? É pura propaganda. O cara que montou o esquema e conseguiu os dados tem muito, mas muito mais mesmo. Conseguiu tudo sozinho ou foi adquirindo de outros cibercriminosos e quer vendê-los. Ele tem não só isso mas o kit completo para quem quer fazer compras fraudulentas pela internet. Para fazer compras num site de comércio eletrônico, em primeiro lugar você precisa de um cadastro na loja. Em segundo, precisa fornecer dados de um cartão de crédito para pagamento. Pois o cara tem as duas coisas para vender.
Para fazer uma compra fraudulenta como a da imagem acima, o comprador pode acessar a loja (não só o Magazine mas qualquer outra) e em primeiro lugar mudar o endereço. Ele coloca o endereço de um “laranja”, para onde a mercadoria será enviada. Caso a polícia apareça no local, o laranja se torna o culpado. Boa essa né? Em segundo lugar o comprador coloca um número de cartão de crédito que o vendedor já testou – um cartão com todos os dados já conferidos e que não tem nada a ver com o cadastro do cliente da loja. Mas que funciona e tem limite para pagar a compra.
Essas compras nunca são de valores astronômicos, para não exigir um telefonema da operadora do cartão. E funcionam mesmo, como você vê na imagem que eu peguei também hoje, num grupo do Facebook.
É, no Facebook mesmo: tem um monte de grupos (em vários dos quais eu participo com nome fictício, na qualidade de sapo, penetra, observador undercover) onde se vende isso e também otras cositas más – como por exemplo dinheiro falso, documentos falsos e drogas verdadeiras. Nada de deep web, como na Rússia. No Brasil é tudo às claras.
