Vazam dados sensíveis de 1 milhão de clientes da Netshoes

A Netshoes, ao que parece, está com um furo no encanamento: ano passado, dados de 500 mil clientes da empresa acabaram vazando na internet. Hoje (16), o TecMundo recebeu uma lista com dados de 1 milhão de clientes em um documento com 180 MB. Entre os dados, estão: nome completo, número CPF, valor gasto e data da última compra, data de nascimento e número do cartão de crédito — além da ordem de compra e SKU (Unidade de Manutenção de Estoque), da própria empresa.

Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e outros

O documento recebido pelo TecMundo foi assinado pelo mesmo hacker que enviou os documentos anteriores: “DFrank”. Na época, a suspeita era de que os dados foram obtidos por um golpe de phishing — o cibercriminoso envia um texto armadilha indicando que você ganhou algum prêmio ou dinheiro e, quando você entra nesse link e insere os seus dados sensíveis, os dados são roubados. Contudo, o vazamento sistemático, que no total juntam mais de 1,5 milhão de dados, indicam algum acesso a base de dados da Netshoes.

Sobre o acesso, “DFrank” se limitou a dizer que “explorou vulnerabilidades na plataforma para acessar os dados”.

netshoesDados vazados da Netshoes

O que podem fazer com esses tipos de dados

Para um cibercriminoso com um conhecimento considerável, as informações obtidas por “DFrank” podem ser utilizadas para diversos no golpe. Ou seja: não é necessário ter o número da conta corrente e senha para praticar algum golpe.

Um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis

Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite “desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social”.

Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.

O seu nome está na lista?

O TecMundo não vai divulgar a lista por razões óbvias: segurança. Mesmo assim, se você quiser checar o seu nome, você pode conseguir isso de duas maneiras:

  • Entre em contato com a Netshoes, eles já possuem a lista e devem fornecer a informação
  • Acesse o Have I Been Pwned; o site está atualizado com os vazamentos anteriores da Netshoes e, em breve, deve atualizar com a nova lista de 1 milhão de nomes

Cupons de desconto TecMundo:

via Novidades do TecMundo

Deixe uma resposta

%d blogueiros gostam disto: