2013/02/02
Cartão Continente Vulnerável a Ataques
Todos os sistemas de cartões que dependem apenas de um número de identificação não são - desde logo - muito seguros, mas no caso dos cartões do Continente, esse problema torna-se mais grave devido à um conjunto de falhas que permite que qualquer pessoa possa pesquisar por cartões com saldo disponível e também aceder aos dados pessoas dos seus possuidores.
Parece difícil imaginar que em 2013 ainda haja sites que acreditem que na internet só andam pessoas de bem. No caso do site do continente, não há nenhum sistema que evite a tentativa de associação de cartões a uma nova conta, o que faz com que uma conta falsa possa indefinidamente percorrer todos os números de cartões possíveis, e descobrir quais se encontram activos ou não.
O sistema volta a falhar na associação a um cartão activo, pedindo dois dígitos no documento de idntificação, mas novamente sem qualquer tipo de limite. Tentando repetidamente, não se torna difícil ganhar acesso ao cartão e aos dados dos seus verdadeiros titulares.
Com toda esta informação, é igualmente fácil imprimirem um código de barras que colem no vosso cartão continente, e usar o saldo que outra pessoa possua no seu cartão para pagarem as vossas compras - o que faz com que este tipo de ataque seja altamente prejudicial para os seus possuidores - e atractivo para os atacantes.
... Não sei como grupos e empresas desta dimensão cometem tais erros básicos de segurança online. Custaria assim tanto limitar o número de tentativas que uma conta pode fazer? Mais que três tentativas erradas poderia despoletar um alerta e dizer que o número de tentativas permitidas foi excedida e que teria que contactar o serviço de apoio ao cliente para desbloquear a situação. Da mesma forma, tentativas de criar novas contas deveriam igualmente estar protegidas contra ferramentas automatizadas (captchas, verificação de email, etc.) e alertar os responsáveis pelo site em caso de anomalias no número de novas contas a serem criadas por minuto/hora/IP/etc.
Mas, eu não sou especialista em segurança online, e não me compete a mim solucionar o problema. Espero é que o Continente o faça quanto antes, e que a comissão nacional de protecção de dados também averigue o que se passa uma vez que andam dados de clientes dos cartões Continente a circular pela internet.
Subscrever:
Enviar feedback (Atom)
Assustador.
ResponderEliminarPor acaso sou "frequentador" dum Continente especialmente bem localizado, com um bom parque de estacionamento, carrinhos de compras perto do balcão onde dão a "moeda de plástico" para os soltar.
ResponderEliminarAcho que o saldo maior que tive no cartão foram €7. Quando me perguntam se quero descontar os pontos digo que sim. Tenho reparado que há quem não desconte os pontos e pelos há quem acumule valores significativos.
O que dizes no post tem solução. Agora, há-de haver gente a deitar fora os talões de compras, com o número do cartão, que pode ser convertido em códigos de barras, utilizáveis nas "caixas self service". Esta parte também tem que ser resolvida. Têm que arranjar um algoritmo, do tipo encriptar com chave pública/chave privada, de modo a que o número do cartão não corresponda linearmente ao código de barras que qualquer um pode criar conhecendo esse número.
Isso do talão é ainda mais simples: é usar a táctica dos talões no multibanco, por exemplo. Não imprimir o número completo - meter asteriscos e só os últimos digitos.
EliminarDe facto isso é mais simples. Se "baralhassem" a correspondência número/barras tinham que trocar os cartões que já existem.
Eliminar