Sem criptografia, dados podem ser interceptados por criminosos
Se você possui um cartão de crédito da Saraiva, da Netshoes ou da Marisa, saiba que, em determinado momento, seus dados pessoais provavelmente estiveram expostos na internet, perfeitamente acessíveis para qualquer criminoso que tivesse interesse em roubá-los. Após receber uma denúncia de um leitor anônimo, o TecMundo constatou que tais lojas virtuais possuem uma vulnerabilidade em comum que pode botar em xeque a segurança de seus clientes.
Nenhuma das três companhias utiliza criptografia, certificados de segurança ou o protocolo HTTPS (que garante uma conexão segura entre sua máquina e o servidor) ao fazer com que o internauta preencha um extenso formulário para a fim de requisitar seu cartão pela internet. O registro pede nome completo, CPF, RG, data de nascimento, nome da mãe, contato telefônico, endereço e até mesmo informações profissionais.
Nossa fonte afirma ter enviado um email para a equipe responsável pela Saraiva, mas a resposta foi um tanto branda e incompleta: “Informamos que seus comentários serão encaminhados ao departamento responsável, pois serão de grande valia para que possamos identificar possíveis falhas e priorizar as mudanças necessárias, para proporcionar-lhe uma melhor experiência em nosso site”. Três meses depois, a vulnerabilidade ainda existe.
Além dessas três redes de renome, outras empresas menores também cometem o mesmo erro em suas respectivas páginas de cadastro. Em uma rápida pesquisa, encontramos mais três sites que oferecem cartões de crédito via internet — o Havan, o LeaderCard e o Nalin. Todos são ligados às redes de lojas de departamento homônimas e oferecem condições especiais para clientes que utilizaram tal método de pagamento durante as compras.
Os dados digitados na página durante o cadastro podem ser visualizados e até mesmo modificados por terceiros
Sem uma camada de proteção envolvendo a comunicação entre o computador do cliente e os servidores do ecommerce, os dados digitados na página durante o cadastro podem ser visualizados e até mesmo modificados por terceiros que estejam na mesma rede que você. O mais interessante é que todas essas lojas aplicam criptografia no checkout de uma compra online, mas “se esqueceram” de proteger tais formulários de registro.
Entenda os riscos da ausência de criptografia
O TecMundo conversou com Cassius Puodzius, especialista em segurança da ESET, para entender exatamente quais são os riscos presentes em uma página que não seja protegida com o protocolo HTTPS. De acordo com o executivo, os dados trocados entre o servidor e o navegador podem ser interceptados e controlados por um terceiro internauta malicioso, roubando credenciais bancárias e informações cadastrais.
“Dessa forma, ao acessar um site, é importante que o usuário verifique se a conexão é segura. Para isso, o internauta deve verificar se possui instalado os certificados digitais no site. São eles que vão garantir confidencialidade e autenticidade das informações”, afirma Cassius. “A verificação, quando realizada com sucesso, garante a confidencialidade das informações. Dessa forma, ninguém conseguirá interceptar a comunicação entre o navegador e o servidor do site e, assim, ter acesso ao conteúdo das informações trocadas”.
O especialista alerta ainda para que o internauta evite sites que não trabalhem com HTTPS (ou seja, que não possuem criptografia), e tome cuidado para a prática de vishing. “No vishing, os criminosos ligam para pessoas e tentam convencê-las a fornecer dados pessoais ou financeiros se passando por funcionários de um banco, uma empresa ou até mesmo de um suporte técnico. A dica nesse caso é nunca divulgar informações pessoais ao receber uma ligação, mesmo que supostamente de uma empresa confiável”, conclui.
Como posso saber se uma conexão é segura?
Se você utiliza o Google Chrome, é fácil identificar um site não seguro — basta prestar atenção ao ícone que aparece do lado esquerdo do endereço visitado. Um cadeado verde indica que a página possui um certificado de autenticidade válido e que foi possível estabelecer uma conexão criptografada (ou seja, protegida) com seus servidores. Caso o ícone seja uma bolinha branca ou um triângulo vermelho, a conexão não é particular.
