No primeiro dia de março, a Eduzz – empresa de marketing de afiliados – confirmou que sofreu uma invasão cibernética. O hacker, por sua vez, alega que está vendendo mais de 12 milhões de dados que estavam hospedados na plataforma. Dentre eles, incluem-se CPFs e CNPJs, além do nome do cliente, e-mail e senha criptografada.
De acordo com o jornal Estadão, as bases podem ser vendidas por até 50 mil dólares. Além dos dados de clientes da empresa, constam também aqueles que estão em plataformas adjuntas, como Nutror e Jobzz, uma vez que usam um único login. Dessa forma, a seguir, entenda tudo sobre o vazamento de 12 milhões de dados criptografados da Eduzz.
Vazamento de 12 milhões de dados da Eduzz
Nos últimos dias, portais divulgaram uma possível invasão e vazamento de 12 milhões de dados da Eduzz. Pouco tempo depois, a plataforma confirmou a informação, mas alertou que o que foi pego não traria problemas para os clientes, afinal, os dados de cartão de crédito contavam com criptografia.
Dentre as informações, estavam nome do cliente, CPF/CNPJ, e-mail, telefone e senha criptografada. Além disso, notou-se também a presença de números parciais de cartões de crédito, suas respectivas bandeiras e nome do titular. Em vista disso, a empresa sorocabana tranquilizou o público, confirmando que as mensagens passavam por um processo de criptografia e hackers não conseguiriam efetuar nenhuma compra em nome dos clientes, já que não possuíam o código de segurança (CVV) dos cartões.
Mesmo assim, depois de tranquilizar seus clientes com relação ao vazamento de 12 milhões de dados criptografados, a Eduzz mantém-se disponível para tirar eventuais dúvidas. Apesar de não contar com problemas de uso indevido de dados, em anúncio, a empresa ainda ressalta que reforçará suas medidas de segurança e proteção.
12 milhões de dados vazados não devem afetar os clientes, de acordo com a Eduzz
Em vista dos vazamentos dos 12 milhões de dados, a Eduzz entrou em contato com todos os clientes que estavam envolvidos. Na mensagem, que foi enviada pelo e-mail, a plataforma comentou sobre a invasão e explicou que o conteúdo que tinha sido vazado condizia com informações de caráter pessoal – a exemplo de CPFs, nomes, telefones e endereços.
Além disso, a empresa confirmou que não houve vazamento de cartões de crédito. Afinal, tais dados ficam sob o domínio dos próprios parceiros de pagamento. Vale ressaltar ainda que a invasão não atingiu o setor, então, não poderia haver vazamento de cartões se a área não foi alvo do ataque hacker.
Por outro lado, a Eduzz avaliou que “partes do cartão de crédito” ficam hospedadas na plataforma. Mesmo assim, isso não seria motivo para transtorno, visto que a criptografia protegeria as informações. Dessa maneira, mesmo que hackers tivessem os dados, eles não seriam completamente decodificados.
Por fim, os dados que foram pegos tornam-se “inúteis” de certa forma. Isso acontece porque nenhuma compra pode ser concluída sem a presença do código de segurança (CVV). Este, por sua vez, fica somente sob a responsabilidade do titular, já que a Eduzz não o armazena em seu site.
Isso não quer dizer que pessoas de má-fé não tentem aplicar golpes. Aliás, não é raro um hacker se passar por um funcionário de banco e efetivar a fraude. Portanto, vale o cliente ficar mais atento a informes bancários e desconfiar se algum “funcionário do banco” pedir os números iniciais de identificação do cartão ou o CVV.
Importância da criptografia
A criptografia é uma das técnicas de segurança mais famosas hoje em dia. Sendo assim, por meio de chaves com sequências específicas de algoritmos, permite proteger mensagens sigilosas. A técnica, por sua vez, não é atual, seu primeiro uso foi no Antigo Egito.
Conforme uma matéria do portal R7, a função da criptografia acaba por ser o embaralho de informações. Dessa forma, permite que somente o emissor e receptor tenham acesso ao conteúdo da mensagem. Logo, outros que não fazem parte da conversa conseguem ver códigos sem qualquer sentido.
No caso da Eduzz, os 12 milhões de dados estavam criptografados, ou seja, os hackers não possuem o acesso integral ao conteúdo. Portanto, não conseguem decifrá-los, já que não são nem emissores ou receptores das mensagens e dados.
Senha com criptografia é sinônimo de segurança?
Apesar de as senhas serem criptografadas, como uma medida extra de segurança, a Eduzz recomenda que alguns clientes mudem suas senhas. Vale lembrar que é difícil decifrar o código, visto que cada um possui uma sequência de algoritmos (o padrão sendo 40 números e letras).
Mesmo assim, pensando na segurança de seus usuários e na proteção de seus dados pessoais, a plataforma decidiu tomar tal medida de precaução.
Comunicado da Eduzz em meio à situação
Perante o vazamento de mais de 12 milhões, a Eduzz redigiu um e-mail explicando toda a confusão. Nele, com transparência, a empresa anunciou que havia sido “vítima de uma atividade criminosa de cibersegurança orquestrada por grupos que atuam neste tipo de crime”.
“Pela apuração até o momento, as informações que foram supostamente copiadas são referentes a uma parcela limitada da base de dados e contém informações pessoais como nome, CPF, endereços e telefones”, continuou o comunicado.
Além do mais, a plataforma adiantou que repudia a ação. Em complemento, comunicou que está realizando uma “investigação em conjunto com consultorias especializadas em segurança da informação e atuando com times internos e externos para minimizar eventuais impactos”.
No e-mail, a empresa também alertou os clientes para terem um cuidado redobrado com e-mails falsos, links suspeitos e evitar salvar senhas em computadores. Cuidado com downloads, evitar instalações de sites suspeitos e acessar sites confiáveis também foram relembrados no anúncio. Outro ponto importante que a Eduzz ressaltou foi a atualização do antivírus, uma vez que ele defende os dispositivos de malwares da Internet.
Por fim, a Eduzz afirmou estar disponível para sanar dúvidas ou esclarecimentos sobre a situação envolvendo os 12 milhões de dados. Para isso, basta mandar um e-mail para dpo@eduzz.com.
O comunicado da Eduzz
“A Eduzz, através de auditoria interna e externa de segurança contratada, está analisando todas as informações e seguindo os padrões estabelecidos pela LGPD (Lei Geral de Proteção aos Dados)”, diz um comunicado no site oficial. “Informamos também que estão em andamento as investigações necessárias para o esclarecimento dos fatos e a busca de responsabilização dos autores, caso constatado alguma irregularidade.”
O Tecnoblog entrou em contato com a Eduzz, mas não obteve resposta até o momento. Abaixo, segue na íntegra o e-mail que a empresa enviou às contas afetadas pelo vazamento.
Prezando pela ética, responsabilidade e transparência que permeiam todas as nossas relações, a Eduzz comunica que foi vítima de uma atividade criminosa de cibersegurança orquestrada por grupos que atuam neste tipo de crime.
Pela apuração até o momento, as informações que supostamente foram copiadas são referentes a uma parcela limitada da base de dados e contém informações pessoais como nome, CPF, endereço e telefones.
Devido a divulgação de notícias equivocadas, cabe esclarecermos que não é possível que informações de cartão de crédito, passíveis de processamento de pagamento, tenham sido objeto do suposto ataque. Os dados de cartão de crédito transacionados pela Eduzz, ficam em posse dos nossos parceiros de pagamento, que não foram alvos do ataque.
Cabe a Eduzz armazenar partes do cartão de crédito que são utilizadas somente para identificação (9999 99XX XXXX 9999) junto aos meios de pagamento e quando solicitadas pelo titular do cartão. Além desses dados serem inúteis para processamento de quaisquer pagamentos, reforçamos que qualquer operação só é validada com a utilização do código CVV, que é de propriedade exclusiva do portador do cartão e não é sequer armazenado em nossas bases.
A Eduzz repudia veementemente essa ação e está realizando uma investigação em conjunto com consultorias especializadas em segurança da informação e atuando com times internos e externos para minimizar eventuais impactos deste acesso indevido e delituoso aos dados.
Para nós, a proteção das informações de nossos clientes, funcionários e da própria empresa é primordial.
Comunicaremos as pessoas que eventualmente sejam afetadas por esse acesso indevido e delituoso aos dados. Aproveitamos para reforçar a todos os usuários as seguintes ações e boas práticas:
Cuidado com e-mails falsos. Certifique-se da origem dessas mensagens;
Cuidado com solicitações de código de confirmação em aplicativos de mensagens;
Caso receba ligação telefônica não solicitada ou de empresa a qual não mantenha relacionamento, não forneça informações. Mesmo para empresas conhecidas, tenha certeza da origem da ligação e desconfie de solicitações de novas informações ou confirmações recebidas por SMS (Golpe do Whatsapp).
Escolha sites confiáveis: assim como se faz em lojas físicas, faça compras em lojas virtuais e de confiança;
Verifique se o site é seguro: antes de fazer um pedido, verifique se o site conta com o ícone de um cadeado na barra de endereço do navegador;
Não salve senhas: elas são restritas e de uso pessoal. Por isso, evite salvar suas senhas no computador;
Altere suas senhas periodicamente e não as repita em diferentes serviços: passar muito tempo com uma única senha é um erro comum;
Não instale softwares suspeitos: na dúvida, não instale. Programas de origem duvidosa podem estar infectados;
Atenção aos downloads: assim como softwares, outros downloads também podem te levar a problemas;
Cuidados com links suspeitos: mantenha a atenção redobrada antes de clicar em algo;
Atualize seu antivírus: ele é sua defesa contra os malwares da internet;
Fique atento aos falsos e-mails e anexos: cuidado com e-mails corrompidos ou suspeitos em sua caixa de entrada;
Qualquer dúvida ou esclarecimento, estamos a disposição através do e-mail: dpo@eduzz.com.”
Defesa de plataformas de cursos
Plataformas de marketing de afiliados, não estão imunes a esses ataques cibernéticos criminosos. Para evitar maiores problemas, os sites apostam em formas de segurança e privacidade. Entre as mais comuns está a criptografia – que não impede o vazamento de dados, mas inviabiliza o entendimento das mensagens, ou seja, o conteúdo em si permanece sigiloso.
A tendência é que, cada vez mais, essas plataformas invistam ainda mais na segurança e proteção de seus clientes.