Você já comprou em lojas virtuais nas quais não é preciso informar a senha de sua conta para facilitar o acesso? Nesse caso, bastaria informar o email e confirmar alguns dados e, para garantir a segurança do processo, as informações pessoais apareciam sempre ocultadas por asteriscos.
Contudo, o blog Segurança Digital, mantido pelo especialista contra ataques virtuais Altieres Rohr, descobriu que sites de comércio eletrônico criados com ferramentas das empresas CiaShop e Web Storm continham uma brecha capaz de vazar informações privadas de forma bastante simples.
Em suma, qualquer pessoa que digitasse o email de um cliente pode dar sequência à compra. Apesar de as informações aparecerem ocultadas na tela durante a compra por razões de segurança, elas poderiam ser conferidas quando o método de pagamento escolhido fosse o boleto. Nesse caso, era possível ver dados como nome completo, endereço e número de CPF, conforme indica a imagem abaixo:
As duas companhias foram notificadas por Rohr e repararam a falha. Agora, sites com recursos da CiaShop impedem que o boleto seja usado para pagamento de compras feitas sem senha, enquanto as páginas baseadas na Web Storm enviam o boleto diretamente para o email cadastrado na conta, evitando assim que ele seja baixado por qualquer um.
Fazem parte do portfólio da Web Storm sites como Multiloja, Colcci, Mueller (fabricante de eletrodomésticos) e Balaroti. Já a CiaShop era a fornecedora do e-commerce de lojas como Asus, NC Games, Quantum e TipTop. Agora, porém, tudo está corrigido.
Categorias
