As informações de clientes do e-commerce brasileiro nunca foram tão visadas por hackers como agora e, aparentemente, os varejistas não estão prestando atenção a isso. Ninguém está 100% seguro – este é o consenso entre especialistas do setor e até o presidente da Netshoes, Marcio Kumruian, endossa a afirmação. “Se os caras invadem o Pentágono, invadem bancos suíços…”, disse, quinta-feira 26, o fundador do quinto maior grupo de varejo eletrônico do País. Fica, então, a indagação: o que dizer do e-commerce nacional?

Nas últimas semanas, foi divulgada na internet uma lista com mais de 350 credenciais de acesso (o login e a senha) dos usuários de alguns dos principais sites varejistas, de serviços de e-mail e de empresas de armazenamento virtual hospedados no Brasil. Em alguns casos, números de cartão de crédito, inclusive com os dígitos de segurança, foram expostos. Entre as empresas afetadas, além da Netshoes, estão outras gigantes, como Magazine Luiza, Ponto Frio, Extra, Casas Bahia, Centauro, eFacil e PagSeguro.

As empresas alegam que seus servidores não foram diretamente invadidos. Mas o simples vazamento das credenciais e dados financeiros mostra que elas não conseguiram proteger clientes que, confiando em seus aparatos de segurança, entregaram informações que foram parar nas mãos de bandidos. Outros vazamentos como o de duas semanas atrás são frequentes no Brasil. Uma rápida pesquisa permite que qualquer internauta encontre diversos arquivos com informações roubadas de usuários de todo o Brasil.

“Eu fiquei bastante surpreso ao saber que esse vazamento foi tão noticiado”, diz André Alves, conselheiro técnico da empresa de segurança virtual Trend Micro. “Existem várias senhas, várias transações e acessos aos diversos aplicativos no mercado. Olhando por esse ponto, estamos vulneráveis a ataques e o setor de e-commerce é um alvo para esses ataques”, afirma Fábio Araújo, head de segurança e comércio eletrônico da Vert, empresa de soluções de TI especializada em desenvolvimento.
Esse é o cotidiano do e-commerce.

Os maiores varejistas brasileiros não se defendem de forma efetiva contra um dos mais comuns tipos de ataques virtuais, o esquema de phishing (leia mais no quadro ao final da reportagem). Ao invés de atacar diretamente os bancos de dados dessas companhias, o golpe é direcionado aos próprios usuários. Os hackers sabem que muitos clientes não seguem os protocolos de segurança que os sites orientam, como não repetir senhas ou não clicar em links duvidosos, e se aproveitam dessa fragilidade.

No último ano, segundo dados da companhia de segurança virtual pessoal Symantec-Norton, foram afetados por phishing 42,4 milhões de brasileiros. A pesquisa mostra que muitos usuários não estão preparados para lidar com essas ameaças. De fato, aproximadamente 44% dos internautas não souberam diferenciar mensagens eletrônicas falsas de reais. Os dados coletados pela companhia colocaram o Brasil na 9ª colocação no ranking mundial de ataques virtuais. De um lado, o cliente do e-commerce acaba facilitando o roubo de suas informações.

Frederico Trajano: CEO do Magazine Luiza, o executivo viu as ações da empresa decolarem desde 2015 graças ao e-commerce e agora precisa encontrar um jeito de deixá-lo mais seguro (Crédito:Murillo Constantino)

As empresas, por sua vez, afirmam que a exposição das informações dos usuários não tem relação com a segurança dos sites. Esse argumento foi utilizado por Via Varejo (dona das marcas Ponto Frio, Extra e Casas Bahia), Netshoes, PagSeguro e Centauro, que enviaram nota à reportagem. Há pouco menos de um ano, quando Frederico Trajano, presidente do Magazine Luiza, concedeu entrevista à DINHEIRO, disse que sua empresa entendia o valor do cliente virtual. “Não é uma surpresa que estamos colhendo os frutos antes do mercado”, disse, em agosto de 2016.

As ações da empresa valorizaram 4.100% desde que assumiu a presidência, em novembro de 2015. Trajano, dessa vez, não quis conceder entrevista. A empresa se manifestou por meio de nota. “Não há nenhuma evidência de que as informações tenham sido obtidas nos sistemas internos da empresa.” Todos afirmam que atuaram para garantir a privacidade e proteger os dados dos usuários. A reportagem da DINHEIRO testou, por meio de amostragem, as contas expostas. Até o fechamento desta edição, muitas delas ainda estavam ativas.

Especialistas do setor afirmam que as empresas têm responsabilidade neste tipo de vazamento. Henrique Lian, diretor da Proteste, afirma que os portais de e-commerce precisam ter sistemas de proteção e segurança tão avançados quanto os que são utilizados por instituições bancárias. “Se você recolheu os dados, você é responsável pela guarda deles”, diz Lian. O especialista cita outro ponto delicado na gestão dos dados de clientes. A partir do momento em que a empresa tem a informação de que contas foram expostas, é sua obrigação bloqueá-las.

Juan Fuentes: Considerado uma das melhores proteções do varejo, o PagSeguro também teve algumas das contas vazadas na internet (Crédito:Divulgação)

A advogada especializada em direito digital Gisele Truzzi, do escritório Truzzi Advogados, também diz que, mesmo em casos de phishing, os clientes podem cobrar das empresas o ressarcimento. “Se o indivíduo teve um dano material, ele pode acionar judicialmente a loja para que seja reembolsado. A loja pode alegar que não tem responsabilidade, mas existem previsões no Código de Defesa ao Consumidor e nos Códigos Penal e Civil, nas quais podem ser enquadradas essas ações”, afirma.

CADEADO FALSO A fragilidade destes sistemas está justamente no elemento da senha. Esse código, na maioria dos sites testados pela DINHEIRO, é o único obstáculo que impede um invasor de obter acesso aos dados das vítimas. “A senha é uma tecnologia ultrapassada”, diz o especialista de cibersegurança Ricardo Tavares. “Nos bancos, por exemplo, é preciso utilizar mais de um código para realizar alguma transação”. O tipo de prática citada por Tavares é chamado de autenticação de dois fatores.

No caso dos bancos, algumas instituições enviam uma sequência caracteres por mensagem de texto no celular do usuário, que, por sua vez, só conseguirá completar a operação a partir da digitação correta dessa sequência. Essa é a orientação da PCI Security Standards Council, um órgão internacional criado pelas principais bandeiras de cartão de crédito do mundo. É a PCI quem dá o norte a empresas varejistas e a companhias de meios de pagamento, como a Visa e a PagSeguro, para que suas práticas estejam de acordo ou não com as necessidades de segurança.

As diretrizes do órgão são tão rígidas que países, como o México, basearam sua legislação de segurança cibernética nos estudos desenvolvidos pela entidade. O diretor regional da PCI para o Brasil, Carlos Caetano, diz que o órgão orienta a implantação da autenticação por dois fatores para qualquer instituição que tenha acesso a dados financeiros de internautas. “A autenticação de dois fatores seria efetiva contra os casos de phishing”, afirma Caetano. Esse tipo de proteção, no entanto, gera custos e impacta de forma severa em um dos pontos mais defendidos por essas nos últimos anos, a praticidade.

Sebastião Bomfim Filho: com senhas expostas no último vazamento de dados, a Centauro garante que fazer compras em seu site é seguro (Crédito:Ana Paula Paiva/Valor )

“O empresário que está começando no e-commerce está muito preocupado com o futuro do negócio. Ele olha para seus produtos, para seus preços, e acaba esquecendo um pouco a parte de fraude. A questão é que, sem isso, ele vai sofrer. O entendimento de que isso é determinante para o sucesso de seu negócio é o processo natural de amadurecimento”, afirma Rogério Signorini, líder da CyberSource, uma divisão de segurança da Visa. Atualmente, tecnologias novas ajudam os varejistas protegerem seus clientes e, ao mesmo, a se resguardarem também.

Projetos como o da própria Visa, o Visa Checkout, do PayPal, ou do MercadoPago, impedem que o site se relacione com as informações dos usuários. Na prática, é como se o cliente pagasse para um intermediário, que, após validar a segurança da operação, repassa o dinheiro aos vendedores. Outras práticas, mais voltadas aos usuários, como a criação de cartões virtuais que expiram após o primeiro uso, também já são disponibilizadas pelos bancos. “Isso torna impossível uma fraude? Não, porque é sempre o cachorro correndo atrás do rabo.

Cada vez que lançamos uma tecnologia nova, os fraudadores, sempre muito hábeis, buscam uma nova forma. Mas, isso eleva a dificuldade de acesso a esses dados a um nível tão alto que desestimula o fraudador”, afirma Signorini. O entendimento entre os especialistas é que nunca é demais o investimento em segurança. A reputação pode ser manchada definitivamente caso seus clientes deixem de confiar em seus instrumentos de proteção. “A confiança está intimamente ligada à percepção de seguranças”, diz Pedro Guasti, presidente da consultoria Ebit, consultoria que dá certificações de qualidade a empresas de e-commerce brasileiras.

Peter Paul Estermann: CEO do Grupo Via Varejo recebe recomendação de especialista de segurança a adotar a autenticação de dois fatores no e-commerce (Crédito:Ana Paula Paiva/Valor )

Segundo ele, apesar dos constantes ataques, essa confiança tem aumentado. “Essa percepção tem melhorado muito por conta da ascensão financeira dos millenials, que já nascem com menos preconceitos em relação a compras na internet”, afirma. Por fragilidades na legislação brasileira, as empresas não são obrigadas por lei a informarem quando são invadidas e têm seus dados vazados de seus servidores, diferentemente do que acontece nos Estados Unidos, por exemplo.

“Eu já vi uma empresa que teve seus dados roubados e não quis admitir ou notificar seus clientes sobre isso”, conta Fabio Assolini, analista sênior de segurança da Kaspersky. “Os fraudadores roubaram os dados e criaram e-mails falsos para roubarem ainda mais informações.” A esperança para que isso mude está no projeto de lei 4.060, de 2012, de autoria do deputado Milton Monti (PR-SP). Entre outras medidas, a proposta visa obrigar as empresas a notificarem qualquer incidente que possa acarretar em prejuízo aos donos de informações vazadas. Apresentado há cinco anos, o projeto ainda segue tramitando no Congresso sem previsão para ser aprovado ou rejeitado.

A reportagem da DINHEIRO procurou as empresas envolvidas para comentar o sobre o tema. A assessoria da Via Varejo afirmou não possuía porta-voz para comentar o assunto. Em nota, a empresa afirmou que “nenhum dos seus sistemas sofreu invasão ou alterações” e que segue “as melhores práticas de segurança da informação adotadas no país”. O PagSeguro disse que José Fuentes, diretor geral do serviço, e Ricardo Dutra, diretor geral do UOL, estavam de férias. Em nota, “o PagSeguro esclarece que não houve quebra de sigilo de nenhum dado de seus clientes” e que “disponibiliza um ambiente seguro para as transações”. A assessoria da Centauro pediu que as perguntas fossem enviadas por e-mail, mas afirmou posteriormente que não responderia às questões enviadas.

Em nota, a empresa disse que “as informações de seus clientes estão asseguradas na base de dados da empresa, a qual não sofreu qualquer tipo de ataque” e diz que sua loja virtual “é um site seguro e seus clientes podem seguir contando com o comprometido da empresa na proteção de seus dados. Não foi possível entrar em contato com a assessoria da empresa eFacil. O e-commerce brasileiro é frágil, parte por culpa dos usuários, parte por culpa das empresas. E, como o próprio Kumruian disse, ao completar a frase que abriu essa reportagem: “Dizer que nunca, ninguém vai ser invadido seria uma heresia”.