A rede de lojas de roupas Forever 21 confirmou oficialmente ter sido vítima de um ataque de hackers que pode ter permitido a coleta de dados de cartões de crédito de clientes que tenham realizado pagamento em diversas lojas localizadas nos EUA, entre os dias 03 de abril de 2017 e 18 de novembro de 2017.
O incidente de segurança que já vinha sendo veiculado desde novembro em diversos portais de tecnologia está sendo investigado pela empresa desde outubro do ano passado e segundo as primeiras informações, o ataque se deu pelo acesso não autorizado ao ambiente de rede e pela disseminação de um malware que teria infectado terminais de ponto de venda (POS), que deveriam estar com o sistema de criptografia ativado, mas que segundo apontam as análises, alguns destes terminais estavam sem a proteção ativada. Sendo assim, como as lojas armazenam em arquivos de log os dados destas transações com cartões, o malware pode ter tido acesso a um certo volume de dados sensíveis.
Em relação ao fato destes terminais estarem operando com a criptografia desligada, a empresa apenas informa que:
“A Forever 21 vem trabalhando com seus processadores de pagamento, provedor de dispositivos POS e especialistas externos para abordar o funcionamento da criptografia nos dispositivos POS em todas as lojas Forever 21.”
Ainda segundo o comunicado da empresa, apenas algumas lojas em território americano foram afetados e que as compras realizadas pelo site não estariam entre os alvos do ataque, porém, lojas fora dos EUA estão sob investigação, para avaliar se também podem ter sido comprometidas com este tipo de violação.
Para clientes que possam ter tido algum problema com uso indevido dos seus dados financeiros, a empresa informa que:
“É sempre aconselhável permanecer atento à possibilidade de fraude, revisando as declarações do seu cartão de pagamento para qualquer atividade não autorizada. Você deve reportar imediatamente quaisquer cobranças não autorizadas ao emissor do seu cartão porque as regras do cartão de pagamento geralmente preveem que os titulares do cartão não são responsáveis por encargos não autorizados reportados em tempo hábil.”
Diferente do caso do recente vazamento de dados da Nissan no Canadá, onde a empresa ofereceu por um ano o serviço de proteção de crédito para os clientes afetados, a Forever 21 dá a entender em seu comunicado que o cliente é que deve buscar meios de se proteger. Um pouco incoerente, se observarmos que o problema foi originado pela falha na operação dos processos de segurança da empresa.
Para lojistas e demais segmentos de mercados preocupados em manter a segurança dos dados de seus clientes, especialmente relacionados às transações com cartões de crédito, é altamente recomendável adotar os controles de segurança previsto no PCI-DSS, o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento que foi criado por um conselho de empresas de cartões de crédito das bandeiras Visa, Mastercard, American Express entre outras, para promover a implementação de uma série de controles de segurança, visando proteger os dados de consumidores.
É bom que os comerciantes estejam minimamente preparados, pois 2018 promete ser um ano aquecido para a violação de dados e roubo de identidades com objetivos de ganhos financeiros.
Fontes consultadas: The Hacker News / Forever 21
Imagens: Flickr / Wikimedia
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec