2020/11/25

Cartão Universo envia extractos sem validar o email dos clientes

O serviço do Cartão Universo da Sonae não valida o endereço de email dados pelos clientes, resultando no envio dos extractos para pessoas erradas - neste caso, eu.

Este final de ano tem sido excelente em termos de revelação da fraca política das empresas nacionais em termos de validação de dados dos seus clientes, e poucos dias após o caso com a Carglass, eis que a situação se repete com o Cartão Universo.

Se o caso já era chato na CarGlass, obviamente que aqui é imensamente pior, pois estou a receber no meu endereço de email extractos que revelam dados bastante sensíveis sobre outra pessoa, incluindo os gastos que faz mensalmente e as dívidas que tem - neste caso, de um indivíduo que tem uma dívida de 1164.43 euros, e pelos quais terá que pagar 57.28 euros este mês.
Mais uma vez, e como manda a boa educação, tiver que perder tempo a tentar contactá-los, indo ao site e descrevendo o sucedido, apenas para ser confrontado com a exigência do fornecimento do número de telefone e de contribuinte. Além disso, mesmo introduzindo dados "só para encher", o formulário indica apenas que houve um erro e que os dados não foram enviados. Seria já de si completamente ridículo, se não fosse revelador de uma situação ainda mais grave.

É que na verdade já os tinha contactado há 11 dias atrás, quando recebi o primeiro email a informar-me que tinha aderido ao cartão Universo (o que não fiz). Já nessa altura enviei um email a explicar a situação; e lamentavelmente, confirma-se que mesmo após todo este tempo, ninguém fez nada para resolver o problema!

Neste caso não estamos a falar somente de uma reserva para ir trocar o vidro num carro; é um serviço bancário, que supostamente se deveria regir por regras bastante mais apertadas. Mas afinal, parece que mesmo com o RGPD e afins, até estas grandes empresas continuam a ignorar (deliberadamente?) as mais básicas regras de segurança e privacidade digital.

14 comentários:

  1. Por aqui também andei algum tempo a receber extratos de um Pedro Pinto.
    A primeira vez que liguei pediram-me os meus dados e eu respondi que não facultava dados nenhuns para além do e-mail que (vá-se lá saber como) já estava na base de dados deles como pertencente a outra pessoa.
    Responderam antipaticamente mas disseram que iam tratar do assunto.
    Há uns 2 meses atrás voltou a acontecer, voltei a ligar. Desta vez a senhora que me atendeu tratou de tudo com simpatia e profissionalismo e parece-me que a situação terá ficado resolvida.

    ResponderEliminar
  2. Ora uma falha de cumprimento do RGPS desta natureza, que revela nome, morada e dados bancários da pessoa, deve ser motivo suficiente pra indemnizações, não??

    ResponderEliminar
  3. Eu há anos que recebo uma factura da NOS de um homónimo meu (primeiro nome e apelido). Na altura fiz alguns contactos através de formulário porque já na altura eles não facultavam um email.
    Nada foi resolvido, pelo que o marquei como spam e lá vai ele direitinho ao caixote do lixo.
    Mas é um grande desleixo: sei onde o senhor mora, e o que faz na vida, quanto gasta por mês, e quando se atrasa a pagar a conta!

    ResponderEliminar
  4. Sim, mas é irrelevante para este caso. Eles não estão a enviar nenhum email com botão "clique aqui para confirmar que é o seu email", enviam logo informação privada para o email como se estivesse correcto.
    (Nem vamos entrar no campo que, uma pessoa mal intencionada que recebesse um desses pedidos de confirmação, clicasse lá a dizer que sim - o que nos leva a processos de validação mais complexos, em que depois de clicar no link tb teria que reconfirmar outro dado, como nº telef ou cartão de cidadão).

    ResponderEliminar
  5. Podemos dizer logo que o Cartão Universo envia os extractos de clientes para endereços de e-mail sem confirmar.
    Ou podemos reparar, que para o e-mail do Carlos.Martins, do Porto, são enviados extractos do Carlos Martins, da Lourinhã.
    Eu diria que o Carlos Martins, da Lourinhã, ao preencher a ficha para o Cartão Universo deu o endereço de e-mail do Carlos Martins, do Porto.
    Se alguém se engana a preencher uma ficha e dá o e-mail de outra pessoa é normal enviar-lhe um mail para para confirmar se quem preencheu a ficha não se enganou?

    ResponderEliminar
    Respostas
    1. Quer seja por erro, lapso, ou deslize no teclado - penso que não será demais exigir que um serviço desta natureza siga a regra básica de validação do email, enviando um email com um link para que o cliente lá clique para demonstrar que é mesmo o seu email.
      E como o primeiro comentário logo demonstrou, não é coisa que me aconteça exclusivamente a mim...

      Eliminar
    2. Suponho que no post anterior da Carglass também tenhar recebido um mail de outro Carlos Martins. Da resposta que deu a Carglass não se percebe o que ia fazer efetivamente para evitar essa situação.

      Mas uma coisa é fazer-se um registo num site e a seguir recebe-se um mail para validar o endereço de e-mail, que tem um tempo limitado de resposta. Se não for feita a confirmação nesse tempo o registo cai. Se o endereço de e-mail estiver errado mas existir quem o recebe (tem um aviso se não é para si ignore) é pouco provável que carregue no link para confirmar - mas pode acontecer.

      Agora, eu, Gabriel Pinto, preencho um impresso de adesão ao Cartão Universo e em vez de gabrielpinto@gmail.com escrever gabrilepinto@gmail.com (ou a máquina de leitura óptica ou o operador que digita essa informação se enganar - vão-me enviar o mesmo mail do caso anterior? Para quê se o tal tempo de confirmação para validação no registo não se pode aplicar? Eu nunca recebi nenhum mail desses e parece-me difícil que exista.

      Eliminar
    3. Provavelmente porque um email "du-vi-de-o-dó@gmail.com" é menos comum que um Carlos Martins, ou muitas outras das combinações de nomes comuns. :D

      Se passares pela nossa mailing list ou slack, não faltam relatos de pessoas que recebem emails de outras, e em dose reforçada quando se tratam de nomes comuns no Brasil, abrangendo políticos, professores, e tudo o mais que se possa imaginar.

      Tudo o que peço é simplesmente que, no caso destas empresas, pelo menos que façam esse processo de validação inicial do email; coisa que neste momento não estão a fazer - assumindo desde logo que é um email válido, e enviando informação privada para alguém que poderá não ser o destinatário correcto (e ainda por cima, como demonstrado, nem sequer disponibilizando um processo rápido e eficiente para corrigir a situação).

      Eliminar
    4. Como digo acima, no processo de registo, a validação pode fazer-se com eficácia.
      Quando o endereço de e-mail é num impresso, teria que ficar escrito: “Vamos enviar-lhe um mail para este endereço a pedir a confirmação. Tem aqui este código para inserir no mail de resposta. Ao seu mail vamos responder com outro a confirmar que o seu e-mail foi confirmado”.
      Estou em crer que muitos Carlos Martins iam responder: “Hã!!?? Pois se fui eu que o escrevi! Não quero mais saber de vocês para nada, vou bater a outra porta!”.

      Eliminar
    5. Deves ter muita má impressão dos Carlos Martins que conheces. Dos que conheço, não tenho nada a dizer. :)

      Eliminar
    6. Questão interessante que levanta um ponto interessante.
      Se fizermos a comparação com a comunicação por carta física percebemos que a situação será a mesma e que não fará sentido tentar resolver com um "confirme a morada antes, só depois enviamos as restantes comunicações", o que sugere que o problema não estará no envio de comunicações para contacto errado, mas não ter forma expedita de corrigir o problema.
      Qualquer email desses deveria ter um link, à semelhança dos "Unsubscribe" para o utilizador indicar que não foi enviado para o contacto correto, à imagem do que podemos fazer com cartas recebidas pelo correio.

      Dada a sensibilidade da situação, apenas disponibilizar um "cesto" genérico de contactos, onde a mensagem pode cair e perder-se no meio de spams, insultos ou reclamações, e assim demorar demasiado tempo a ser lida, é um erro por parte do fornecedor de serviços.

      Se calhar a forma mais segura de garantir que alguém leva o assunto a sério, é com uma queixa à CNPD.

      Eliminar
  6. Bancos e seguradores com servidores muito toscos, se não estão preparados para identificar como o mesmo endereço de e-mail gabrielpinto@gmail e GaBriel.PinTo@gmail

    Um (um só) "." é ignorado e as maiúsculas também. Em todo o caso, como os servidores e serviços de e-mail não são todo iguais, o melhor é usar gabrielpinto@gmail (mas torna-se mais provável um engano por falta/troca de alguma letra - e os mails do Gabriel Pinto vão para o mail do gabrilepinto@gmail.com

    ResponderEliminar
  7. Recebo mensagens de e-mail que deveriam ser entregues a outros Vitor Madeira que residem em Portugal, Alemanha e Brasil.

    Não tenho forma de os contactar pessoalmente mas tenho avisado as empresas em questão. Poucas ou nenhumas querem saber da situação.

    Do que tenho reparado, parece-me que existe algum problema da parte de quem preenche os formulários (nem sempre são os próprios clientes) que toma o domínio "gmail.com" como uma espécie de sufixo universal para todos os endereços de email do planeta seja de quem for.

    ResponderEliminar