2020/11/25

Cartão Universo envia extractos sem validar o email dos clientes

O serviço do Cartão Universo da Sonae não valida o endereço de email dados pelos clientes, resultando no envio dos extractos para pessoas erradas - neste caso, eu.

Este final de ano tem sido excelente em termos de revelação da fraca política das empresas nacionais em termos de validação de dados dos seus clientes, e poucos dias após o caso com a Carglass, eis que a situação se repete com o Cartão Universo.

Se o caso já era chato na CarGlass, obviamente que aqui é imensamente pior, pois estou a receber no meu endereço de email extractos que revelam dados bastante sensíveis sobre outra pessoa, incluindo os gastos que faz mensalmente e as dívidas que tem - neste caso, de um indivíduo que tem uma dívida de 1164.43 euros, e pelos quais terá que pagar 57.28 euros este mês.
Mais uma vez, e como manda a boa educação, tiver que perder tempo a tentar contactá-los, indo ao site e descrevendo o sucedido, apenas para ser confrontado com a exigência do fornecimento do número de telefone e de contribuinte. Além disso, mesmo introduzindo dados "só para encher", o formulário indica apenas que houve um erro e que os dados não foram enviados. Seria já de si completamente ridículo, se não fosse revelador de uma situação ainda mais grave.

É que na verdade já os tinha contactado há 11 dias atrás, quando recebi o primeiro email a informar-me que tinha aderido ao cartão Universo (o que não fiz). Já nessa altura enviei um email a explicar a situação; e lamentavelmente, confirma-se que mesmo após todo este tempo, ninguém fez nada para resolver o problema!

Neste caso não estamos a falar somente de uma reserva para ir trocar o vidro num carro; é um serviço bancário, que supostamente se deveria regir por regras bastante mais apertadas. Mas afinal, parece que mesmo com o RGPD e afins, até estas grandes empresas continuam a ignorar (deliberadamente?) as mais básicas regras de segurança e privacidade digital.

15 comentários:

  1. Por aqui também andei algum tempo a receber extratos de um Pedro Pinto.
    A primeira vez que liguei pediram-me os meus dados e eu respondi que não facultava dados nenhuns para além do e-mail que (vá-se lá saber como) já estava na base de dados deles como pertencente a outra pessoa.
    Responderam antipaticamente mas disseram que iam tratar do assunto.
    Há uns 2 meses atrás voltou a acontecer, voltei a ligar. Desta vez a senhora que me atendeu tratou de tudo com simpatia e profissionalismo e parece-me que a situação terá ficado resolvida.

    ResponderEliminar
  2. Ora uma falha de cumprimento do RGPS desta natureza, que revela nome, morada e dados bancários da pessoa, deve ser motivo suficiente pra indemnizações, não??

    ResponderEliminar
  3. Eu há anos que recebo uma factura da NOS de um homónimo meu (primeiro nome e apelido). Na altura fiz alguns contactos através de formulário porque já na altura eles não facultavam um email.
    Nada foi resolvido, pelo que o marquei como spam e lá vai ele direitinho ao caixote do lixo.
    Mas é um grande desleixo: sei onde o senhor mora, e o que faz na vida, quanto gasta por mês, e quando se atrasa a pagar a conta!

    ResponderEliminar
  4. O problema é que alguns servidores não reconhecem o ponto. Por exemplo gabrielpinto@gmail.com e gabriel.pinto@gmail.com para as bancos, seguradores e outros são 2 clientes para a Google é o mesmo mail.....

    ResponderEliminar
    Respostas
    1. Sim, mas é irrelevante para este caso. Eles não estão a enviar nenhum email com botão "clique aqui para confirmar que é o seu email", enviam logo informação privada para o email como se estivesse correcto.
      (Nem vamos entrar no campo que, uma pessoa mal intencionada que recebesse um desses pedidos de confirmação, clicasse lá a dizer que sim - o que nos leva a processos de validação mais complexos, em que depois de clicar no link tb teria que reconfirmar outro dado, como nº telef ou cartão de cidadão).

      Eliminar
    2. Bancos e seguradores com servidores muito toscos, se não estão preparados para identificar como o mesmo endereço de e-mail gabrielpinto@gmail e GaBriel.PinTo@gmail

      Um (um só) "." é ignorado e as maiúsculas também. Em todo o caso, como os servidores e serviços de e-mail não são todo iguais, o melhor é usar gabrielpinto@gmail (mas torna-se mais provável um engano por falta/troca de alguma letra - e os mails do Gabriel Pinto vão para o mail do gabrilepinto@gmail.com

      Eliminar
  5. Podemos dizer logo que o Cartão Universo envia os extractos de clientes para endereços de e-mail sem confirmar.
    Ou podemos reparar, que para o e-mail do Carlos.Martins, do Porto, são enviados extractos do Carlos Martins, da Lourinhã.
    Eu diria que o Carlos Martins, da Lourinhã, ao preencher a ficha para o Cartão Universo deu o endereço de e-mail do Carlos Martins, do Porto.
    Se alguém se engana a preencher uma ficha e dá o e-mail de outra pessoa é normal enviar-lhe um mail para para confirmar se quem preencheu a ficha não se enganou?

    ResponderEliminar
    Respostas
    1. Quer seja por erro, lapso, ou deslize no teclado - penso que não será demais exigir que um serviço desta natureza siga a regra básica de validação do email, enviando um email com um link para que o cliente lá clique para demonstrar que é mesmo o seu email.
      E como o primeiro comentário logo demonstrou, não é coisa que me aconteça exclusivamente a mim...

      Eliminar
    2. Suponho que no post anterior da Carglass também tenhar recebido um mail de outro Carlos Martins. Da resposta que deu a Carglass não se percebe o que ia fazer efetivamente para evitar essa situação.

      Mas uma coisa é fazer-se um registo num site e a seguir recebe-se um mail para validar o endereço de e-mail, que tem um tempo limitado de resposta. Se não for feita a confirmação nesse tempo o registo cai. Se o endereço de e-mail estiver errado mas existir quem o recebe (tem um aviso se não é para si ignore) é pouco provável que carregue no link para confirmar - mas pode acontecer.

      Agora, eu, Gabriel Pinto, preencho um impresso de adesão ao Cartão Universo e em vez de gabrielpinto@gmail.com escrever gabrilepinto@gmail.com (ou a máquina de leitura óptica ou o operador que digita essa informação se enganar - vão-me enviar o mesmo mail do caso anterior? Para quê se o tal tempo de confirmação para validação no registo não se pode aplicar? Eu nunca recebi nenhum mail desses e parece-me difícil que exista.

      Eliminar
    3. Provavelmente porque um email "du-vi-de-o-dó@gmail.com" é menos comum que um Carlos Martins, ou muitas outras das combinações de nomes comuns. :D

      Se passares pela nossa mailing list ou slack, não faltam relatos de pessoas que recebem emails de outras, e em dose reforçada quando se tratam de nomes comuns no Brasil, abrangendo políticos, professores, e tudo o mais que se possa imaginar.

      Tudo o que peço é simplesmente que, no caso destas empresas, pelo menos que façam esse processo de validação inicial do email; coisa que neste momento não estão a fazer - assumindo desde logo que é um email válido, e enviando informação privada para alguém que poderá não ser o destinatário correcto (e ainda por cima, como demonstrado, nem sequer disponibilizando um processo rápido e eficiente para corrigir a situação).

      Eliminar
    4. Como digo acima, no processo de registo, a validação pode fazer-se com eficácia.
      Quando o endereço de e-mail é num impresso, teria que ficar escrito: “Vamos enviar-lhe um mail para este endereço a pedir a confirmação. Tem aqui este código para inserir no mail de resposta. Ao seu mail vamos responder com outro a confirmar que o seu e-mail foi confirmado”.
      Estou em crer que muitos Carlos Martins iam responder: “Hã!!?? Pois se fui eu que o escrevi! Não quero mais saber de vocês para nada, vou bater a outra porta!”.

      Eliminar
    5. Deves ter muita má impressão dos Carlos Martins que conheces. Dos que conheço, não tenho nada a dizer. :)

      Eliminar
    6. Questão interessante que levanta um ponto interessante.
      Se fizermos a comparação com a comunicação por carta física percebemos que a situação será a mesma e que não fará sentido tentar resolver com um "confirme a morada antes, só depois enviamos as restantes comunicações", o que sugere que o problema não estará no envio de comunicações para contacto errado, mas não ter forma expedita de corrigir o problema.
      Qualquer email desses deveria ter um link, à semelhança dos "Unsubscribe" para o utilizador indicar que não foi enviado para o contacto correto, à imagem do que podemos fazer com cartas recebidas pelo correio.

      Dada a sensibilidade da situação, apenas disponibilizar um "cesto" genérico de contactos, onde a mensagem pode cair e perder-se no meio de spams, insultos ou reclamações, e assim demorar demasiado tempo a ser lida, é um erro por parte do fornecedor de serviços.

      Se calhar a forma mais segura de garantir que alguém leva o assunto a sério, é com uma queixa à CNPD.

      Eliminar
  6. Recebo mensagens de e-mail que deveriam ser entregues a outros Vitor Madeira que residem em Portugal, Alemanha e Brasil.

    Não tenho forma de os contactar pessoalmente mas tenho avisado as empresas em questão. Poucas ou nenhumas querem saber da situação.

    Do que tenho reparado, parece-me que existe algum problema da parte de quem preenche os formulários (nem sempre são os próprios clientes) que toma o domínio "gmail.com" como uma espécie de sufixo universal para todos os endereços de email do planeta seja de quem for.

    ResponderEliminar