Notícias
Sistema da VTEX para lojas online expõe dados parciais e preocupa especialistas
09/05/2022
Uma insegurança encontrada nos sistemas da VTEX para lojas online pode funcionar como gatilho para golpistas roubarem dados de usuários. Segundo apuração feita pelo Tecnoblog, é possível ter acesso, de forma parcial, a nome, endereço, número de telefone e cartão de crédito sem a necessidade de fazer login. Drogaria São Paulo e Universal Music Store são exemplos de lojas que usam a ferramenta. Veja mais detalhes sobre essa história nas linhas a seguir.
Ao acessar a loja online da Drogaria São Paulo, foi possível notar que, ao finalizar o pagamento, o sistema pede apenas o e-mail de cadastro no site — sem a necessidade de senha para isso. O mesmo aconteceu ao fazer uma compra na Universal Music Store.
Assim que o e-mail é informado pelo usuário, uma série de dados cadastrados anteriormente na plataforma são exibidos de maneira pseudonimizada. Ou seja, parcialmente ocultados por asteriscos, como na imagem abaixo.
Vale ressaltar que a plataforma ainda exige o código de verificação do cartão de crédito (CVV) para fechar a compra.
Essa tecnologia é conhecida como SmartCheckout, que promete agilizar o processo de compra em lojas online. Apesar de ser mais prática, a divulgação desses dados — mesmo que ocultados — pode ser um problema.
É aí que mora o perigo
Atualmente, endereços de e-mail circulam livremente pela internet, principalmente após grandes vazamentos de dados ocorridos nos últimos meses.
Um golpista com tempo livre e uma planilha de endereços na mão pode, por exemplo, ter acesso aos sistemas da Drogaria São Paulo e da Universal Music sem qualquer barreira de proteção.
Dessa forma, seria possível entrar em contato com clientes em busca de dados completos — como o de cartão de crédito e CPF.
Para ler a notícia na íntegra, clique aqui:
Fonte: tecnoblog.
Voltar