Foram localizadas 5.925 lojas on-line (sendo 216 com .br) contendo um código malicioso que permite a coleta de dados de cartões de crédito, além de outras informações de clientes que efetuam compras nestes sites.
Esses dados foram apresentados pelo programador holandês Willem de Groot, especializado na linguagem Magento que é amplamente utilizada para criação de eCommerce e de acordo com o seu levantamento, o problema não é recente, pois cerca de 745 dessas lojas estavam com o código inserido em seus sites desde novembro de 2015. Groot alega ter avisado diversas empresas, mas que algumas se recusavam a reconhecer o problema por acreditarem que trabalhando com sites em HTTPS elas não estariam sujeitas a este tipo de ataque, o que parece ser um equivoco, pois essa vulnerabilidade não depende do uso de criptografia na comunicação das páginas.
Apesar de alguns sites estarem sendo bloqueados por navegadores como o Google Chrome, durante nossa tentativa de acesso conseguimos entrar em diversos sites brasileiros que não acusavam o alerta, embora ainda estejam na lista de sites vulneráveis identificados pelo programador. Fora isso, não há nada que identifique claramente que o usuário possa ter sido vítima do “furto” de dados, pois o foco do ataque não está no computador do cliente e sim na página da loja.
Willem de Groot disponibilizou a lista dos sites afetados e que segundo ele não foram corrigidos até o momento. Quem quiser realizar uma consulta, basta acessar sua página no Gitlab, clicando AQUI.
Para os usuários, resta manter a precaução de não utilizar cartões de crédito para transações em sites desconhecidos que oferecem eCommerce. Para estes casos a melhor opção é realizar o pagamento via boleto ou optar por sites com maior índice de reputação. É importante compreender que isso não significa que sites conhecidos na rede não possuam vulnerabilidades, mas que agindo com essa precaução o usuário estará reduzindo o risco de ter os dados financeiros comprometidos.
Fontes consultadas: G1 / Gitlab
Imagens: Magento / ITNews
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
