Hackers invadiram o sistema de compra, bloqueio e extrato do "Cartão Presente" da C&A. Entre os dados de clientes vazados, estão: número do cartão, CPF, email, valor adquirido como presente, email do funcionário que fez a transação, número do pedido e data da compra.

O hacker afirmou que estão expostos os dados de quatro milhões de pedidos — dentre eles, afirma que “provavelmente” existem dados de dois milhões de clientes diferentes

A C&A se viu envolta em uma bola de neve nesta semana: o TecMundo, inicialmente, publicou uma denúncia sobre mau uso de dados de candidatos a emprego para a criação de cartões da empresa varejista. Depois, mais relatos sobre mau uso começaram a chegar — outras varejistas também entraram no pacote, mas isso você vai conhecer em breve. Agora, um hacker chamado @j0shua, do grupo Fatal Error Crew, publicou no Pastebin os dados de clientes da C&A que adquiriram os presentes.

“Já que vocês gostam de brincar com os dados dos outros, decidimos brincar um pouco com os seus sistemas”, escreveu o hacker Joshua ao publicar os dados.

Em conversa com o TecMundo, Joshua afirmou que estão expostos os dados de quatro milhões de pedidos — dentro destes, Joshua diz que “provavelmente” existem dados de dois milhões de clientes diferentes, considerando mais de um pedido feito por cliente. Diretamente no sistema de cartões presente, com seus números, estão expostos os dados de 36 mil. Apesar da quantidade de vazamento informada, o TecMundo não recebeu todos os dados como prova, apenas uma amostra presente no Pastebin, serviço de armazenamento de texto online.

A Fatal Error Crew ainda enviou um posicionamento posterior: "Gostaríamos de salientar que não possuímos a lista de Gift Cards C&A ou qualquer outra lista de informações pessoais dos cliente, mapeamos os mesmos por meio do ID e apenas postamos algumas informações internas para a equipe da C&A confirmar a invasão. Não iremos distribuir nenhuma informação pessoal na internet visto que não compactuamos com crimes financeiros. Os dados dos clientes estão seguros, os poucos GiftCards publicados, estavam na seção de devolução, portanto seriam descartados. - Fatal Error Crew"

A C&A confirmou o caso e, felizmente, acionou um plano de contingência:

Posicionamento da C&A

"A C&A detectou na madrugada de hoje um movimento de ciberataque ao seu sistema de vale-presente/trocas. Imediatamente a empresa acionou seu plano de contingência. A companhia também está tomando providências jurídicas para tratar a questão. Em caso de dúvidas, pedimos que os clientes acionem os canais de atendimento da empresa. Reiteramos nosso compromisso com uma atuação pautada pela ética e respeito às leis e que trabalhamos para oferecer a melhor experiência aos nossos clientes, inclusive no ambiente online"

Documento no Pastebin

O perigo dos vazamentos

Entre os perigos que envolvem este tipo de vazamento, estão os golpes de phishing e a engenharia social. Problemas que podem afetar os clientes nos próximos meses.

Phishing e engenharia social são os principais perigos que envolvem o vazamento de dados

Em primeiro lugar, temos o phishing, o principal ataque no Brasil e um dos métodos de ataque mais antigos. Nele, "metade do trabalho" é enganar o usuário de computador ou smartphone. Como uma "pescaria", o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.

Depois, temos a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".

Dados sensíveis vazados da C&A

Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.

Denúncia