2020/11/19

Carglass envia passwords sem validação de email

A Carglass envia informação referente a marcações de clientes, incluindo dados de acesso e password, sem validar o endereço de email - fazendo com que esses dados possam ir parar à pessoa errada.

Após inúmeros casos, seria de imaginar que por esta altura, em 2020, as empresas já tivessem assegurado um patamar mínimo de boas práticas digitais (nem que fosse por conta do RGPD) na forma como lidam com as comunicaçoes digitais. Infelizmente, ano após ano, continuamos a verificar que não é o caso.

Desta vez tive o "privilégio" de receber um email inesperado, referente a uma marcação numa agência Carglass para troca de um vidro num automóvel. Ora, uma vez que (felizmente) não preciso de fazer qualquer intervenção desse tipo, e depois de ter descartado a possibilidade de ser phishing, veio a verificar-se que foi simplesmente mais um caso de envio de dados para um endereço de email errado, que neste caso era o meu.

Poderia ter simplesmente eliminado o email, mas este caso pareceu-me um pouco mais preocupante, pois neste mesmo email é fornecido o username e password de acesso ao processo, que não só permite ver a informação do cliente como até requisitar o reagendamento para outro dia.

Obviamente, o meu primeiro pensamento foi contactar a Carglass para que rectificassem a situação - e implementassem um sistema de validação do endereço de email antes de enviarem dados confidenciais que podem violar a privacidade dos seus clientes, que provavelmente cairão no âmbito de um processo RGPD.


Ora bem, como seria de imaginar, as coisas não começaram bem; o link de contacto fornecido no respectivo email redirecciona para uma página inexistente no site da Carglass. Muito bem, não desistirei por causa de um contratempo destes, dirijo-me ao site para procurar uma forma de contacto... e foi aí que as coisas ficaram ainda piores, ao ponto de justificar a promoção deste incidente a "notícia".

Depois de pacientemente escrever o relato do que se estava a passar, e tendo passado pela habitual exigência de fornecimento de dados que nem nem deveriam ser exigidos (como o número de telefone), eis que pela 3ª ou 4ª tentativa de envio, me deparo com a exigência de aceitar aquilo que a Carglass chama "termos e condições". Só que aquilo que está a ser exigido é que para os contactar, tenha obrigatoriamente que aceitar receber "spam" de campanhas promocionais e comunicações da Carglass - algo em que não tenho qualquer interesse, e que foi a gota de água quanto ao tempo que estava disposto a dedicar-lhes para os informar de uma situação que seria do seu próprio interesse resolverem.

Pois bem, mesmo sendo através desta forma alternativa, espero que a Carglass se considere devidamente notificada, e que venha a rever as suas opções quanto ao envio de dados privados e confidenciais para desconhecidos, e à exigência de se aceitar spam só para se poder entrar em contacto com eles.


Actualização: A Carglass já entrou em contacto e diz que vai fazer mudanças para evitar este tipo de acontecimentos:
"Iniciamos um processo de análise e correção dos nossos sistemas, para garantir que o acesso ao nosso portal de clientes é feito apenas pelos clientes das Carglass Portugal e corrigimos a página de pedidos de contacto do nosso site. Estão ainda previstas outras iniciativas com melhoramentos mais profundos, que irão permitir uma melhor experiência aos nossos clientes."

4 comentários:

  1. Infelizmente não é a única instituição que o faz. Há mais por ai.

    ResponderEliminar
  2. Caríssimos, isso são "peanuts" do ponto de vista dos CEOs e companhia, Lda.

    Que horror! Então vossas excelências estão agora a preocupar-se com questões e assuntos de menor importância?

    Então a empresa em questão não é líder de mercado? O que importam esse tipo de detalhes?

    Isso também só afeta os clientes pobres, não é? Está a ver? É um assunto de menor importância.

    Deixe lá isso.

    O senhor diretor tem mais que fazer para continuar a dar lucro aos senhores acionistas.

    Estamos em 2020 e era o que mais faltava era dar importância a coisas desse tipo.

    (Estava aqui a especular se quem é responsável pelo departamento de informática será ou não ali da zona de Cascais...)

    ResponderEliminar
  3. Há uns dois meses que ando a receber mails da brasileira VIVO, em nome de uma sra. Maria de Sousa. Novo tarifário, campanhas, inquéritos, enfim, recebo tudo. Já desisti de tentar que corrijam o erro...

    ResponderEliminar
  4. Obrigar as pessoas a aceitar receber comunicações publicitárias, para um tipo de contacto que não vai nesse sentido, não vão contra o RGPD? Não basta pedir permissão, é necessário que a pessoa se possa opor desde o primeiro momento a essa utilização específica, correcto? Não foi o que o tribunal europeu decidiu já em relação aos avisos de cookies?

    ResponderEliminar

[pub]