Mastercard deixa dados privados de clientes expostos para criminosos

Mastercard é uma das maiores bandeiras quando falamos em cartão de crédito. Por isso, ela também possui um programa de pontos chamado Surpreenda para fidelizar os seus clientes — por ali, usuários do cartão podem resgatar vouchers e trocar por presentes, por exemplo. O problema disso é: o Mastercard Supreenda tem uma falha de segurança que exibe os dados sensíveis de clientes para cibercriminosos.

Entre os dados que podem ser facilmente acessados, estão: nome completo, data de nascimento, RG, CPF, número celular, número telefônico residencial e endereço completo com CEP. Com essas informações em mãos, um cibercriminoso pode desde realizar um golpe de phishing customizado até realizar um golpe de fraude de identidade.

De acordo com a fonte anônima, que assina a denúncia como C0d3r3d, "todos os dias vemos inúmeras falhas de segurança que expõem dados de clientes, sendo responsabilidade das companhias a implementação controles".

Sobre a falha de segurança, ela explica: "Para tomar o controle da conta e ter acesso a todos os dados do cliente no programa Surpreenda, basta digitar o CPF + Email cadastrado e solicitar um reset de senha. Estes dados podem ser encontrados publicamente na internet, além de não possuir nenhum mecanismo de anti-automação, o que torna um ataque de força bruta extremamente fácil, aonde são inseridos valores aleatórios até que o valor correto seja encontrado".

Dessa maneira, "todos os clientes da MasterCard Surpreenda, além dos pontos, estão também com seus dados em risco", nota C0d3r3d — os pontos, ou vouchers, são a menor preocupação neste caso. Sim, os cibercriminosos também podem roubar os vouchers das contas acessadas.
ard BR deixa dados privados de clientes expostos para criminosos

O que podem fazer com esses tipos de dados

Para um cibercriminoso com um conhecimento considerável, as informações obtidas no Mastercard Surpreenda podem ser utilizadas para diversos golpes. Ou seja: não é necessário ter o número da conta corrente e senha para praticar algum golpe.

Um deles é a engenharia social. De acordo com Renato Marinho, pesquisador chefe da Morphus Labs, a engenharia social permite "desde a abertura de contas bancárias para obtenção de crédito a tentativa de recuperação de credenciais de acessos a serviços on-line da vítima, são muitos os cenários de risco envolvendo o uso de informações como essas e técnicas de engenharia social".

Além disso, com as informações pessoais de alguém em mãos, um cibercriminoso pode preparar desde uma campanha de phishing customizada para invadir algum dispositivo ou até roubar mais credenciais sensíveis. Os cenários ainda podem se desdobrar para pedidos de 2° via de cartão de crédito e muitos outros.

Outro problema? A fraude de identidade. Segundo a Serasa Experian, um brasileiro é vitíma de fraude de identidade a cada 20 segundos. Para realizar uma fraude, basta o criminoso obter informações como as exibidas no Mastercard Surpreenda. Entre janeiro e novembro de 2016, a Serasa pegou mais de 1,6 milhão de tentativas de fraude no Brasil.