Desde o dia 9 de julho, cibercriminosos estão divulgando uma lista com centenas de senhas e nomes de usuários de sites de e-commerce e de um intermediador financeiro no Pastebin, site que permite publicar informações de forma anônima. O número de senhas e nomes de usuários chegou a mais de 700, incluindo ainda alguns números de CPF. Entre os sites atingidos, estão marcas como Magazine Luiza, Ponto Frio, Extra e PagSeguro.
Segundo Flávio Shiga, sócio e gerente de Serviços da iBLISS Digital Security, que teve acesso a lotes de dados vazados, as informações divulgadas, apesar de não terem sido obtidas por meio do acesso não autorizado, uma “invasão” aos portais das empresas, indicam os péssimos hábitos dos usuários em relação a senhas, especialmente dentro das empresas, já que os dados mostram que alguns usuários se cadastram em sites de compras usando o e-mail corporativo.
“Outra constatação preocupante é o fato de algumas dessas senhas dar acesso aos e-mails expostos, mostrando que muitos usuários usam a mesma senha para se cadastrar em vários serviços”, explica Shiga. “Se essas senhas forem as mesmas usadas também no e-mail corporativo cadastrado, algumas empresas podem estar em risco após esse vazamento”.
Até o momento, o estado mais impactado pela exposição destas informações é o de São Paulo, que teve mais de 165 registros divulgados. Em seguida, aparecem os estados do Rio de Janeiro, Minas Gerais, Mato Grosso do Sul, Paraná, Rio Grande do Sul, Santa Catarina e Bahia, todos e cada um com menos de 60 registros divulgados até o momento.
De acordo com o executivo, os dados divulgados mostram ainda que uma grande quantidade de usuários cadastra senhas fracas e de fácil dedução. Entre as mais utilizadas está a já conhecida combinação “123456”, e outras sequências como “102030” e “10101”. Ele também destaca termos como “deus123”, “abcdef”, “aninha”, “anjinho” e “sorvete”.
“O fato de vermos uma grande quantidade de indivíduos colocando esses maus hábitos em prática em sua vida pessoal não significa que eles também não ajam dessa maneira no ambiente profissional, mesmo que ele não tenha cadastrado seu e-mail corporativo. Portanto, é importante que as empresas brasileiras invistam em conscientização em segurança”, afirma o especialista da iBLISS.
“O investimento na conscientização do usuário nas empresas ajuda a destacar a importância de boas práticas como o uso do e-mail corporativo exclusivamente na esfera profissional, não para cadastros em outros sites, bem como a importância de sempre cadastrar senhas seguras e únicas em todos os serviços”, explica Shiga.
Atualização
Em nota enviada à redação, o PagSeguro esclarece que não houve quebra de sigilo de nenhum dado de seus clientes. É falsa a informação veiculada em redes sociais. O PagSeguro reforça ainda que disponibiliza ambiente seguro para as transações, e que também ajuda seus clientes na prevenção de fraudes na internet, por meio de um material educativo disponível em https://pagseguro.uol.com.br/dicas-de-seguranca-online.jhtml.
