A Netshoes, ao que parece, está com um furo no encanamento: ano passado, dados de 500 mil clientes da empresa acabaram vazando na internet. Hoje (16), o TecMundo recebeu uma lista com dados de 1 milhão de clientes em um documento com 180 MB. Entre os dados, estão: nome completo, número CPF, valor gasto e data da última compra e data de nascimento — além da ordem de compra e SKU (Unidade de Manutenção de Estoque), da própria empresa.
Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e outros
O documento recebido pelo TecMundo foi assinado pelo mesmo hacker que enviou os documentos anteriores: "DFrank". Na época, a suspeita era de que os dados foram obtidos por um golpe de phishing — o cibercriminoso envia um texto armadilha indicando que você ganhou algum prêmio ou dinheiro e, quando você entra nesse link e insere os seus dados sensíveis, os dados são roubados. Contudo, o vazamento sistemático, que no total juntam mais de 1,5 milhão de dados, indicam algum acesso a base de dados da Netshoes.
Sobre o acesso, "DFrank" se limitou a dizer que "explorou vulnerabilidades na plataforma para acessar os dados".

O que podem fazer com esses tipos de dados
Para um cibercriminoso com um conhecimento considerável, as informações obtidas por "DFrank" podem ser utilizadas para diversos no golpe. Ou seja: não é necessário ter o número da conta corrente e senha para praticar algum golpe.
Um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis
Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".
Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.
PARA SABER SE SEUS DADOS FORAM VAZADOS CONSULTE A NETSHOES POIS ELA JA TEM A LISTA OU ACESSE haveibeenpwned.com
FONTE:TECMUNDO
Comentários
Postar um comentário