. . . . . . . . . . . . 
Roubo de Dados
Copy&Paste: JB
Cartões de crédito à solta
Roubo de dados pessoais pode ter atingido a base brasileira de clientes, afirma Visa
O anúncio do roubo de dados de 40 milhões de clientes Visa e Mastercard, que pode ser o maior da história, pegou de surpresa especialistas do mercado de segurança. As informações foram furtadas do banco de dados da CardSystems, empresa terceirizada que administra as transações das administradoras de cartão de crédito.
- Fiquei surpreso com este ataque. Não esperava que algo assim ainda acontecesse. As empresas investiram muito em segurança, mas as quadrilhas também se profissionalizaram - afirma o diretor de Tecnologia da Internet Security Systems (ISS), Marcelo Bezerra.
As investigações estão sendo conduzidas pela polícia federal americana, FBI. A Visa, no entanto, afirmou ao Jornal do Brasil que é possível que a base brasileira de clientes tenha sido atingida. De acordo com a executiva de Comunicações Corporativas da administradora, Guadalupe Hugoni, a fraude atingiu 100 mil clientes de 38 regiões da América Latina e Caribe.
- Considerando que este número está dividido entre 18 países e 20 ilhas do Caribe, o impacto em cada mercado foi mínimo. Só no Brasil, por exemplo, existem 28,5 milhões de cartões de crédito Visa - completou Hugoni.
A Mastercard não informou a abrangência do ataque, mas afirmou que as informações mais críticas, como números de seguridade social, não foram roubadas. Os principais dados roubados foram o número da conta bancária e do cartão de crédito.
- Se os usuários dos cartões da Mastercard tiverem alguma razão para crer que seus cartões foram usados de forma fraudulenta, devem contactar o banco que expediu o cartão - informa nota divulgada pela administradora.
Esta também é a orientação da Visa, que informou ainda que, até agora, não foram identificadas atividades irregulares ou fraudulentas nas contas afetadas pelo roubo de dados.
De acordo com a advogada especialista em contratos eletrônicos, Thais Cordeiro, clientes brasileiros vítimas da fraude devem notificar o banco que emitiu o cartão no Brasil, solicitando o ressarcimento dos valores cobrados indevidamente. Caso não haja acordo com o banco, o consumidor pode acionar a administradora na justiça.
- Não há limite para a indenização, depende dos danos causados ao consumidor. O ônus da prova é invertido, ou seja, quem deve provar estar certo é a administradora do cartão, mas se o cliente tiver provas, como testemunhas e notificações de cobrança, ajuda a corroborar sua versão - explica Thais.
A advogada do Instituto Brasileiro de Defesa do Consumidor (Idec), Maíra Feltrin, aconselha ainda a troca do número do cartão.
- Caso o consumidor pague a conta com cobrança indevida, deve receber o valor em dobro - completa.
Desde 2001, tanto Visa quanto Mastercard têm programas de certificação de segurança, chamado Payment Card Industry Data Security Standard (PCI). Para receber a certificação, é necessário atender a 12 requisitos de segurança, todos atendidos pela CardSystems, em junho de 2004. É necessário, por exemplo, restringir o acesso ao centro de dados somente a pessoas autorizadas e manter uma identificação pessoal de quem tem acesso às informações para permitir o monitoramento.
Exigências como estas são medidas preventivas para evitar ataques, já que atualmente novos perfis de ataques são montados tão rapidamente que um sistema programado apenas para reagir pode ser insuficiente. Para garantir o sucesso de uma segurança preventiva, no entanto, é preciso investir nas pessoas que acessam o sistema, além da preocupação nas ferramentas tecnológicas. No caso do roubo de informações da Visa e da Mastercard, não está descartada a possibilidade de envolvimento de algum funcionário da CardSystems.
Segundo especialistas, o roubo de dados pode ter ocorrido com a invasão de um hacker, se aproveitando de uma vulnerabilidade no sistema, por atividade de algum funcionário ou com recurso à engenharia social ou ao phishing - o envio de links para homepages que simulam páginas reais.
Nos dois últimos casos, o treinamento de funcionários poderia evitar o incidente. A engenharia social utiliza técnicas para convencer funcionários a entregar informações como senhas, dados pessoais e outras informações confidenciais.
por Marcela Canavarro
Cartões de crédito à solta
Roubo de dados pessoais pode ter atingido a base brasileira de clientes, afirma Visa
O anúncio do roubo de dados de 40 milhões de clientes Visa e Mastercard, que pode ser o maior da história, pegou de surpresa especialistas do mercado de segurança. As informações foram furtadas do banco de dados da CardSystems, empresa terceirizada que administra as transações das administradoras de cartão de crédito.
- Fiquei surpreso com este ataque. Não esperava que algo assim ainda acontecesse. As empresas investiram muito em segurança, mas as quadrilhas também se profissionalizaram - afirma o diretor de Tecnologia da Internet Security Systems (ISS), Marcelo Bezerra.
As investigações estão sendo conduzidas pela polícia federal americana, FBI. A Visa, no entanto, afirmou ao Jornal do Brasil que é possível que a base brasileira de clientes tenha sido atingida. De acordo com a executiva de Comunicações Corporativas da administradora, Guadalupe Hugoni, a fraude atingiu 100 mil clientes de 38 regiões da América Latina e Caribe.
- Considerando que este número está dividido entre 18 países e 20 ilhas do Caribe, o impacto em cada mercado foi mínimo. Só no Brasil, por exemplo, existem 28,5 milhões de cartões de crédito Visa - completou Hugoni.
A Mastercard não informou a abrangência do ataque, mas afirmou que as informações mais críticas, como números de seguridade social, não foram roubadas. Os principais dados roubados foram o número da conta bancária e do cartão de crédito.
- Se os usuários dos cartões da Mastercard tiverem alguma razão para crer que seus cartões foram usados de forma fraudulenta, devem contactar o banco que expediu o cartão - informa nota divulgada pela administradora.
Esta também é a orientação da Visa, que informou ainda que, até agora, não foram identificadas atividades irregulares ou fraudulentas nas contas afetadas pelo roubo de dados.
De acordo com a advogada especialista em contratos eletrônicos, Thais Cordeiro, clientes brasileiros vítimas da fraude devem notificar o banco que emitiu o cartão no Brasil, solicitando o ressarcimento dos valores cobrados indevidamente. Caso não haja acordo com o banco, o consumidor pode acionar a administradora na justiça.
- Não há limite para a indenização, depende dos danos causados ao consumidor. O ônus da prova é invertido, ou seja, quem deve provar estar certo é a administradora do cartão, mas se o cliente tiver provas, como testemunhas e notificações de cobrança, ajuda a corroborar sua versão - explica Thais.
A advogada do Instituto Brasileiro de Defesa do Consumidor (Idec), Maíra Feltrin, aconselha ainda a troca do número do cartão.
- Caso o consumidor pague a conta com cobrança indevida, deve receber o valor em dobro - completa.
Desde 2001, tanto Visa quanto Mastercard têm programas de certificação de segurança, chamado Payment Card Industry Data Security Standard (PCI). Para receber a certificação, é necessário atender a 12 requisitos de segurança, todos atendidos pela CardSystems, em junho de 2004. É necessário, por exemplo, restringir o acesso ao centro de dados somente a pessoas autorizadas e manter uma identificação pessoal de quem tem acesso às informações para permitir o monitoramento.
Exigências como estas são medidas preventivas para evitar ataques, já que atualmente novos perfis de ataques são montados tão rapidamente que um sistema programado apenas para reagir pode ser insuficiente. Para garantir o sucesso de uma segurança preventiva, no entanto, é preciso investir nas pessoas que acessam o sistema, além da preocupação nas ferramentas tecnológicas. No caso do roubo de informações da Visa e da Mastercard, não está descartada a possibilidade de envolvimento de algum funcionário da CardSystems.
Segundo especialistas, o roubo de dados pode ter ocorrido com a invasão de um hacker, se aproveitando de uma vulnerabilidade no sistema, por atividade de algum funcionário ou com recurso à engenharia social ou ao phishing - o envio de links para homepages que simulam páginas reais.
Nos dois últimos casos, o treinamento de funcionários poderia evitar o incidente. A engenharia social utiliza técnicas para convencer funcionários a entregar informações como senhas, dados pessoais e outras informações confidenciais.
por Marcela Canavarro
0 Comments:
Postar um comentário
<< Home