A Eduzz sofreu, em março de 2021, uma invasão hacker que divulgou dados e cartão de crédito de 12 milhões de clientes. Dessa forma, a empresa de marketing de afiliados veio a público esclarecer os eventos criminosos.
Conforme o jornal O Estado de S. Paulo, os criminosos estavam vendendo os dados por preços exorbitantes. Segundo a apuração, o maior dos valores era superior a 50 mil dólares. Além de contar com os dados da Eduzz, os invasores também declararam ter de outros ambientes que fazem parte da empresa, a exemplo da plataforma Nutror.
Mesmo assim, a empresa sorocabana tranquilizou os clientes e explicou a situação. A seguir, entenda como se deu a invasão e a divulgação de cartão de crédito e 12 milhões de dados na Eduzz.
Cartão de crédito: 12 milhões de dados sofrem invasão na Eduzz
Nos últimos dias, a Eduzz passou por uma invasão cibernética criminosa que vazou cartão de crédito e dados dos clientes. Em meio a isso, a empresa alertou seus clientes e, como forma de ampliar a segurança, pediu para que alguns alterassem suas senhas no site.
Apesar de haver um vazamento de dados, estes não são comprometedores aos clientes. Isso porque, de acordo com a empresa, a invasão foi ao seu painel. Assim, a parte específica em que constam cartões e informações relevantes não foi alvo de ataque.
Dentre os vazamentos, encontram-se nomes, e-mails, telefones e senhas de clientes. Além disso, CPF/CNPJ e fragmentos dos cartões de crédito (como nome do titular e bandeira) também foram descobertos. Contudo, tais informações acabam sendo inúteis para efetivar compras ou realizar outras atividades.
Mais do que isso, as mensagens e dados passaram por um processo de criptografia, o qual impede a leitura completa do conteúdo. Sendo assim, mesmo que os hackers tenham os dados, não conseguirão visualizá-los ou mesmo utilizá-los. Afinal, para isso, teriam que decifrar os códigos – o que não é uma tarefa fácil.
Vazamento de dados do cartão de crédito não deve afetar clientes, conforme a Eduzz
Por mais que portais tenham anunciado que milhões de dados foram vazados da Eduzz, a situação não é bem assim. De acordo com a plataforma, houve a divulgação criminosa de dados pessoais na Internet. Além disso, partes de cartões de crédito também vazaram. No entanto, isso não é motivo de pânico.
Conforme a Eduzz, o setor de parceiros de pagamento não sofreu uma invasão hacker. Dessa maneira, não houve realmente um vazamento de dados do cartão de crédito. Por outro lado, o site armazena algumas informações dos cartões e estas ficaram disponíveis na web. Mas a questão não deve assustar os clientes, já que as informações não podem ser decifradas (apenas por emissores e receptores) e os criminosos não possuem os respectivos códigos de segurança (CVV), indispensáveis na hora de efetuar uma compra.
Atuação da criptografia
A criptografia é uma ferramenta de segurança muito popular atualmente. Por meio dela, mensagens ficam em sigilo mesmo sendo expostas para outras pessoas. Mas como isso acontece?
A tecnologia embaralha as informações e, além disso, transforma o conteúdo em códigos. Por sua vez, cada código possui uma sequência de algoritmos, que possui 40 letras e números. Dessa forma, qualquer pessoas que tente ler a mensagem não consegue, a não ser que seja o emissor ou receptor desta.
No caso do vazamento das partes de alguns cartões de crédito na Eduzz, a ferramenta pôde impedir a distribuição de todas as informações. Com isso, qualquer pessoa que tente comprar algo no cartão de um cliente, não conseguirá – já que cada um possui um código de segurança (CVV), que não está disponível. Além do mais, a invasão hacker não atingiu o setor dos parceiros de pagamento, no qual ficam os dados dos cartões.
Comunicado da plataforma à ocasião
A Eduzz, através de auditoria interna e externa de segurança contratada, está analisando todas as informações e seguindo os padrões estabelecidos pela LGPD (Lei Geral de Proteção aos Dados)”, diz um comunicado no site oficial. “Informamos também que estão em andamento as investigações necessárias para o esclarecimento dos fatos e a busca de responsabilização dos autores, caso constatado alguma irregularidade.
O Tecnoblog entrou em contato com a Eduzz, mas não obteve resposta até o momento. Abaixo, segue na íntegra o e-mail que a empresa enviou às contas afetadas pelo vazamento.
Prezando pela ética, responsabilidade e transparência que permeiam todas as nossas relações, a Eduzz comunica que foi vítima de uma atividade criminosa de cibersegurança orquestrada por grupos que atuam neste tipo de crime.
Pela apuração até o momento, as informações que supostamente foram copiadas são referentes a uma parcela limitada da base de dados e contém informações pessoais como nome, CPF, endereço e telefones.
Devido a divulgação de notícias equivocadas, cabe esclarecermos que não é possível que informações de cartão de crédito, passíveis de processamento de pagamento, tenham sido objeto do suposto ataque. Os dados de cartão de crédito transacionados pela Eduzz, ficam em posse dos nossos parceiros de pagamento, que não foram alvos do ataque.
Cabe a Eduzz armazenar partes do cartão de crédito que são utilizadas somente para identificação (9999 99XX XXXX 9999) junto aos meios de pagamento e quando solicitadas pelo titular do cartão. Além desses dados serem inúteis para processamento de quaisquer pagamentos, reforçamos que qualquer operação só é validada com a utilização do código CVV, que é de propriedade exclusiva do portador do cartão e não é sequer armazenado em nossas bases.
A Eduzz repudia veementemente essa ação e está realizando uma investigação em conjunto com consultorias especializadas em segurança da informação e atuando com times internos e externos para minimizar eventuais impactos deste acesso indevido e delituoso aos dados.
Para nós, a proteção das informações de nossos clientes, funcionários e da própria empresa é primordial.
Comunicaremos as pessoas que eventualmente sejam afetadas por esse acesso indevido e delituoso aos dados. Aproveitamos para reforçar a todos os usuários as seguintes ações e boas práticas:
Cuidado com e-mails falsos. Certifique-se da origem dessas mensagens;
Cuidado com solicitações de código de confirmação em aplicativos de mensagens;
Caso receba ligação telefônica não solicitada ou de empresa a qual não mantenha relacionamento, não forneça informações. Mesmo para empresas conhecidas, tenha certeza da origem da ligação e desconfie de solicitações de novas informações ou confirmações recebidas por SMS (Golpe do Whatsapp).
Escolha sites confiáveis: assim como se faz em lojas físicas, faça compras em lojas virtuais e de confiança;
Verifique se o site é seguro: antes de fazer um pedido, verifique se o site conta com o ícone de um cadeado na barra de endereço do navegador;
Não salve senhas: elas são restritas e de uso pessoal. Por isso, evite salvar suas senhas no computador;
Altere suas senhas periodicamente e não as repita em diferentes serviços: passar muito tempo com uma única senha é um erro comum;
Não instale softwares suspeitos: na dúvida, não instale. Programas de origem duvidosa podem estar infectados;
Atenção aos downloads: assim como softwares, outros downloads também podem te levar a problemas;
Cuidados com links suspeitos: mantenha a atenção redobrada antes de clicar em algo;
Atualize seu antivírus: ele é sua defesa contra os malwares da internet;
Fique atento aos falsos e-mails e anexos: cuidado com e-mails corrompidos ou suspeitos em sua caixa de entrada;
Qualquer dúvida ou esclarecimento, estamos a disposição através do e-mail: dpo@eduzz.com.
