Meio milhão de dados pessoais de clientes da Netshoes foram disponibilizados em um site de compartilhamento de arquivos. O documento, enviado nesta quinta-feira (7) ao TecMundo, compreende informações de clientes de todos os estados brasileiros. Entre os dados vazados, se encontram: nome completo, email, data de nascimento, histórico de compra, data e valor da última compra realizada.

A engenharia social permite desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima

O TecMundo não vai divulgar o link do documento por motivos de segurança

Na terça-feira passada (5), um documento com 17 mil dados pessoais de clientes da Netshoes havia sido enviado como prova da invasão. Apesar da alegação de que o site foi invadido, quando o TecMundo contatou um hacker identificado como "DFrank", na época, a suspeita era de que isso não passava de um golpe de phishing — o cibercriminoso envia um texto armadilha indicando que você ganhou algum prêmio ou dinheiro e, quando você entra nesse link e insere os seus dados sensíveis, os dados são roubados.

Porém, um novo documento .txt de 65 MB postado online e enviado compreende dados de 500 mil clientes e, de acordo com o que foi apurado, não são dados provenientes de phishing. Anteriormente, "DFrank" comentou o seguinte: "Queremos as companhias encerrem o discurso de que os dados de consumidores estão seguros. As pessoas não podem continuar sendo enganadas pelas empresas, acreditando que seus dados pessoais são seguros".

"DFrank" ainda disse que "explorou vulnerabilidades na plataforma para acessar os dados". Sem querer entrar em detalhes, o atacante disse que obteve acesso "usando uma técnica que se chama fuzzing para se infiltrar no código-fonte". O fuzzing é uma técnica normalmente automatizada ou semi-automatizada. Ela promove dados inválidos e aleatórios como entradas em programas — o mais comum é que o fuzzing encontre falhas mais simples em programas.

Imagem de amostra dos dados vazados (histórico de compra)

Durante uma conversa com o TecMundo, ao ser confrontado sobre a possibilidade de phishing, "DFrank" negou e enviou os dados do repórter Rafael Farinaccio, que estava na base de dados da Netshoes:

Dados de repórter na base da Netshoes

A Netshoes enviou um posicionamento sobre o caso e comentou o seguinte:

"A Netshoes afirma que não foram identificados quaisquer indícios de invasão aos sistemas da empresa e adotou todas as diligências para apurar a possível origem das informações. A Companhia reforça que tais dados não incluem informações bancárias, de cartões de crédito, ou senhas de acesso, e reitera o compromisso com a segurança de seus ambientes tecnológicos, a fim de garantir a proteção das informações de sua base de consumidores".

O que podem fazer com esses tipos de dados

Para um cibercriminoso com um conhecimento considerável, as informações obtidas por "DFrank" podem ser utilizadas para diversos no golpe. Ou seja: não é necessário ter o número da conta corrente e senha para praticar algum golpe.

Um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis

Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".

Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.