Dados de clientes da Saraiva, Marisa e Netshoes podem estar desprotegidos
Outras empresas sem HTTPS
Além dessas três redes de renome, outras empresas menores também cometem o mesmo erro em suas respectivas páginas de cadastro. Em uma rápida pesquisa, encontramos mais três sites que oferecem cartões de crédito via internet — o Havan, o LeaderCard e o Nalin. Todos são ligados às redes de lojas de departamento homônimas e oferecem condições especiais para clientes que utilizaram tal método de pagamento durante as compras.
Os dados digitados na página durante o cadastro podem ser visualizados e até mesmo modificados por terceiros
Sem uma camada de proteção envolvendo a comunicação entre o computador do cliente e os servidores do ecommerce, os dados digitados na página durante o cadastro podem ser visualizados e até mesmo modificados por terceiros que estejam na mesma rede que você. O mais interessante é que todas essas lojas aplicam criptografia no checkout de uma compra online, mas “se esqueceram” de proteger tais formulários de registro.
De posse de tais dados pessoais, qualquer cibercriminoso pode aplicar fraudes em seu nome — caso queira saber mais sobre como esses meliantes efetuam golpes na internet, clique aqui e confira uma matéria dedicada sobre o assunto. Nessa reportagem, também informamos como se manter seguro e preservar sua privacidade enquanto navega na web.
Entenda os riscos da ausência de criptografia
O TecMundo conversou com Cassius Puodzius, especialista em segurança da ESET, para entender exatamente quais são os riscos presentes em uma página que não seja protegida com o protocolo HTTPS. De acordo com o executivo, os dados trocados entre o servidor e o navegador podem ser interceptados e controlados por um terceiro internauta malicioso, roubando credenciais bancárias e informações cadastrais.
Ao acessar um site, é importante que o usuário verifique se a conexão é segura
“Dessa forma, ao acessar um site, é importante que o usuário verifique se a conexão é segura. Para isso, o internauta deve verificar se possui instalado os certificados digitais no site. São eles que vão garantir confidencialidade e autenticidade das informações”, afirma Cassius. “A verificação, quando realizada com sucesso, garante a confidencialidade das informações. Dessa forma, ninguém conseguirá interceptar a comunicação entre o navegador e o servidor do site e, assim, ter acesso ao conteúdo das informações trocadas”.
O especialista alerta ainda para que o internauta evite sites que não trabalhem com HTTPS (ou seja, que não possuem criptografia), e tome cuidado para a prática de vishing. “No vishing, os criminosos ligam para pessoas e tentam convencê-las a fornecer dados pessoais ou financeiros se passando por funcionários de um banco, uma empresa ou até mesmo de um suporte técnico. A dica nesse caso é nunca divulgar informações pessoais ao receber uma ligação, mesmo que supostamente de uma empresa confiável”, conclui.
Como posso saber se uma conexão é segura?
Se você utiliza o Google Chrome, é fácil identificar um site não seguro — basta prestar atenção ao ícone que aparece do lado esquerdo do endereço visitado. Um cadeado verde indica que a página possui um certificado de autenticidade válido e que foi possível estabelecer uma conexão criptografada (ou seja, protegida) com seus servidores. Caso o ícone seja uma bolinha branca ou um triângulo vermelho, a conexão não é particular.
Exemplo de página que não possui criptografia
Existe um sistema parecido no Mozilla Firefox e no Edge — basta verificar se o ícone que aparece ao lado da URL é um cadeado para descobrir que você está em uma conexão criptografada. No Firefox, uma conexão normal é sinalizada com um desenho de globo terrestre; já o Edge não utiliza quaisquer ícones para demonstrar a falta de segurança de uma página.
As respostas das empresas
O TecMundo entrou em contato com a Saraiva, com a Netshoes e com a Marisa, e as três empresas se mostraram dispostas a investigar a suposta falha. Confira o pronunciamento oficial da Marisa a respeito do assunto:
A Marisa informa que está ciente desta questão e já está providenciando a implantação do protocolo https e a certificação digital na página de cadastro para solicitar um Cartão Marisa, que devem estar habilitados até segunda-feira, dia 17/10. A rede, que está há mais de 65 anos no mercado, preza pela qualidade, segurança e bom atendimento não só nas lojas físicas como também no e-commerce e trabalha para aprimorar constantemente seus processos.
Já a Netshoes esclareceu que o formulário de registro está hospedado nos servidores do banco responsável pelos cartões, e tal conexão é criptografada. Confira o comunicado na íntegra:
O Grupo Netshoes esclarece que a página (http://www.netshoes.com.br/cartao-netshoes-registro?ncardForm=internacional) na qual é possível solicitar o Cartão NCard não traz riscos para a segurança dos dados pessoais dos seus usuários. O formulário em que os dados são digitados utiliza a técnica de iframe, que fica hospedada na infraestrutura do banco parceiro, utilizando o protocolo HTTPS e certificado digital, de acordo com todas as especificações necessárias para a segurança do consumidor. A preocupação com a segurança de dados é um tema recorrente na companhia e o Grupo Netshoes reforça seu compromisso em garantir a proteção das informações de seus clientes.
Até o momento, a Saraiva não se pronunciou a respeito do assunto.
Fonte: Tecmundo
Fonte: Tecmundo
Nenhum comentário:
Postar um comentário