Falta de segurança das empresas ponto com expõe clientes a fraudes

Comprar pela Internet é uma forma prática e rápida de obter os produtos, mas também pode provocar dores de cabeça nos consumidores, como se pôde ver durante a última Black Friday. Sites de defesa do consumidor chegaram a receber mais de uma denúncia por minuto. A maioria destas reclamações resultava de promoções falsas. Entretanto, o grande problema, o da exposição de dados fornecidos pelos clientes por conta da falta de segurança dos sistemas das empresas, resulta muitas vezes na prática de fraudes. O consumidor só descobre que suas informações se tornaram moeda de troca entre hackers quando tem seu cartão utilizado indevidamente, a conta raspada ou é alvo de algum tipo de chantagem.

Em dezembro, meio milhão de pessoas tiveram seus dados expostos por terem comprado em uma grande empresa de venda de artigos esportivos na Internet. E esta semana a mesma rede foi novamente invadida com a publicação de informações de um milhão de compradores. Ao colocar os dados em um post no Pastebin, página usada, entre outros, para hackers ostentarem suas realizações, o autor da invasão afirmou que queria demonstrar a fragilidade dos sistemas e que nenhuma empresa do setor está completamente blindada contra ataques deste tipo.

As informações foram retiradas do ar rapidamente, mas não se sabe quantos tiveram acesso aos dados, que são negociados até em bancas de camelôs, para os mais diversos fins. Questões deste tipo não são incomuns no Brasil, mas acabam sendo abafadas pelos denunciados e pouco aparecem na mídia. Apesar de existirem soluções tecnológicas que permitem à empresa identificar invasões e fraudes, como o Forense Digital da Ventiv Solutions International, ainda são pouco utilizadas.

A lista disponibilizada no Pastebin abrangia nomes, e-mails, telefones, CPFs, datas de nascimento e cidades dos compradores. A posse dessas informações permite as mais variadas práticas, como a engenharia social ou phishing, tipo de abordagem utilizada por criminosos para persuadir internautas, por exemplo, com anúncios, solicitações de informações ou direcionamento para sites falsos, onde a própria vítima disponibiliza seus dados. Pode-se também contatar pessoas e, conhecendo alguns de seus dados, conquistar sua confiança para, por exemplo, passar-se por um gerente de banco e pedir a atualização de uma senha.

Segundo pesquisa da empresa de segurança digital CyberSource, que envolve toda a América Latina, em 2017, a fraude mais comum era de controle de conta, na qual o fraudador tem acesso a contas e cartões de crédito da vítima. A lista é extensa e envolve desde Botnets, rede privada de computadores infectados com um software malicioso controlado como um grupo sem o conhecimento de seus proprietários para roubar dados e minerar Bitcoins, enviar spams e permitir que criminosos acessem dispositivos. Os fraudadores também usam lojas on-line para testar informações de cartão de crédito, como seu limite. Os dados obtidos permitem que os criminosos façam compras no cartão da vítima sem levantar suspeitas. Há ainda o roubo de identidade que permite à pessoa obter vantagens financeiras, crédito e outros benefícios em seu nome.

O grande problema é saber se o seu nome figurava na lista e quem teve acesso. Por este motivo, o número de processos contra empresas de e-commerce ainda é reduzido. Segundo o levantamento do escritório Pereira Gonçalves Advogados Associados, com base nos dados do TJSP, apesar das milhares e milhares de reclamações mensais, somente na cidade de São Paulo existem 5.370 processos abertos contra empresas ponto com. Neste balaio, encontra-se de tudo, desde mercadorias entregues com avarias a problemas de estorno. Mas a minoria dos processos é por vazamento de informações.

Os incisos 1º e 7º do artigo 7º do Marco Civil da Internet garantem a usuários da web a inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação. Pessoas que tiveram suas informações vazadas podem acionar judicialmente a empresa e, quando o assunto é defesa do consumidor, o ônus da prova recai sobre a acusada, a qual deverá provar que seu sistema é seguro.

(*) Victor Hugo Pereira Gonçalves é sócio do escritório Pereira Gonçalves Advogados Associados, atua há 16 anos como especialista em Direito Digital. É autor do livro Marco Civil Comentado (GEN Forense, 2016).