Entre domingo, 15, e segunda-feira, 17, cibercriminosos estão publicando arquivos com centenas de senhas e nomes de usuários de sites de e-commerce brasileiros no serviço de publicação de textos Pastebin, possivelmente como resultado de práticas de phishing.

Segundo o especialista em segurança da informação, Paulo Brito, que identificou o primeiro vazamento no domingo, o número de senhas e nomes de usuários passava de 800. Um segundo lote, identificado pela consultoria de segurança Antecipe, soma outras 1.040 credenciais, todas organizadas em listas contendo muitas vezes nomes, e-mail, e CPF.

A  lista de sites inclui logins de usuários de empresas como Magazine Luiza, Extra, Ponto Frio, Netshoes, Casas Bahia, Centauro, Extra, PagSeguro, ingresso.com, Zipmail e HostGator, entre outros. Alguns lotes são grandes, com várias centenas de nomes, e outros muito pequenos, com dois ou três nomes. As maiores listas incluem Magazine Luiza, PagSeguro, Casas Bahia, Ponto Frio e Extra. O formato dessas listas reforça a suspeita de que se trata de uma compilação de resultado de ataques de phishing contra usuários individuais.

Na manhã desta terça-feira, 18,  a área de comunicação institucional do grupo Via Varejo enviou para este noticiário, por e-mail, comunicado oficial sobre o incidente: “A Via Varejo, responsável pela administração dos sites Casas Bahia, Pontofrio e Extra, esclarece que nenhum dos seus sistemas sofreu invasão ou alterações e reforça que segue as melhores práticas de segurança da informação adotadas no país”.

Centenas de nomes

“Na manhã de domingo encontrei um vazamento grande de logins, senhas, nomes e CPFs de clientes do Magazine Luiza, Ponto Frio, PagSeguro e Extra no Pastebin. Só do Magazine Luiza eram mais de 500 senhas e do Ponto Frio outras tantas 194”, explicou Brito. O especialista diz que testou as senhas, verificou que eram verdadeiras e entrou em contato com o Magazine Luiza, GPA e UOL. “O pessoal do Magazine Luiza pediu ao Pastebin para retirar o arquivo do ar”, diz.

O vazamento, segundo Brito, parecia recente, “menos de 24 horas”, “mas também poderia ter sido copiado de alguma coisa mais antiga”. “Se você tem login em desses lugares entre lá e mude a senha já. Se não conseguir entrar é porque a sua senha foi alterada por outra pessoa. Neste caso, use o “perdi minha senha”, o telefone ou qualquer outro recurso porque o problema pode ser grande. Corra antes que os bandidos também achem a lista”, alerta.

O especialista explica que a publicação de lotes de senhas no Pastebin é um tipo de isca para atrair interessados em comprar lotes maiores que o cibercriminoso tenha em mãos. “O que acontece é que os bandidos vão guardando, montando as listas e de vez em quando publicam parte delas para que outros comprem — é propaganda. Quem compra pega esses dados, altera o endereço de entrega da mercadoria, altera o email (para o dono da conta não ser notificado de nada), pega um cartão roubado e faz a compra”, diz Brito.

Em comunicado, a consultoria Antecipe explica que a forma como as senhas e dados estavam organizados indica que podem ser resultado da prática de phishing, quando cibercriminosos levam usuários a informar senha e login de diferentes sites usando e-mails ou sites falsos que parecem com os originais. De qualquer forma, o ideal é trocar a senha, uma prática que, independente de problemas como esse, deveria ser adotada regularmente por usuários de internet.