Entre domingo e esta segunda-feira, 17, o especialista Paulo Brito encontrou mais de 800 senhas de sites brasileiros de comércio eletrônico no Pastebin

Desde domingo, 15, cibercriminosos estão publicando arquivos com centenas de senhas e nomes de usuários de sites de e-commerce brasileiros no serviço de publicação de textos Pastebin. Segundo o especialista em segurança da informação, Paulo Brito, que primeiro identificou o vazamento no domingo, o número de senhas e nomes de usuários passava de 800 até esta segunda-feira, 17. A lista de sites inclui Magazine Luiza, Extra, Ponto Frio, PagSeguro e Ingresso.com.

“Na manhã de domingo encontrei um vazamento grande de logins, senhas, nomes e CPFs de clientes do Magazine Luiza, Ponto Frio, PagSeguro, e Extra no Pastebin. Somente do Magazine Luiza eram mais de 500 senhas e do Ponto Frio outras tantas 194”, explicou Brito. O especialista diz que testou as senhas, verificou que eram verdadeiras e entrou em contato com o Magazine Luiza, GPA e UOL. “O pessoal do Magazine Luiza pediu ao Pastebin para tirar o arquivo do ar. Não sei o que os outros dois fizeram”, diz.

O vazamento, segundo Brito, parecia recente, “menos de 24 horas”, “mas também poderia ter sido copiado de alguma coisa mais antiga”. No domingo, 16/07, pela manhã, Paulo Brito encontrou mais alguns lotes de senhas do PagSeguro.

“Se você tem login em desses lugares entre lá e mude a senha já. Se não conseguir entrar é porque a sua senha foi mudada por outra pessoa. Nesse caso, use o “perdi minha senha”, o telefone ou qualquer outro recurso porque o problema pode ser grande. Corra antes que os bandidos também achem a lista”, alerta Brito

O especialista explica que a publicação de lotes de senhas no Pastebin é um tipo de isca para atrair interessados em comprar lotes maiores que o cibercriminoso tenha em mãos. “O que acontece é que os bandidos vão guardando, montando as listas e de vez em quando publicam parte delas para que outros comprem — é propaganda. Quem compra pega esses dados, altera o endereço de entrega da mercadoria, altera o e-mail (para o dono da conta não ser notificado de nada), pega um cartão roubado e faz a compra.

Fonte: Computer World