Originally published at: Vazamento com 12 milhões de CPFs e CNPJs inclui dígitos de cartão de crédito • Antivírus e Segurança • Tecnoblog
Eduzz confirma incidente de segurança; hacker vende números de celular, senhas criptografadas e números parciais de cartão
Bora ver se a LGPD funciona mesmo, estão tratando nossos dados como lixo
Apesar de inseguro, receber a senha no cadastro é possível mesmo se no banco ela for convertida para uma hash.
Tudo isso devido a contexto, ou seja o e-mail é enviado logo após receber a requisição do cadastro que contém inclusive a senha em texto plano.
Isso quer dizer que o e-mail confirmando o cadastro é feito antes dela passar pelo SHA1.
Mas como eu disse, isso inspira insegurança tanto educacional quando técnica.
Educacional porque a primeira coisa que um usuário leigo vai achar é que a senha de fato está salva em texto plano.
Técnica porque utiliza mecanismos de segurança incompletos ou obsoletos.
os dados são inúteis…
Empresa sem consideração pelos dados pessoais das pessoas (mesmo só confirmando cpf, endereço etc)
Em teoria a Eduzz está errada quando comenta que os números de cartões vazados são “inúteis” como foi comentado no artigo. Os cartões podem ser usados sim se seguirem esse mesmo padrão citado porque a partir dos primeiros e últimos números do cartão de crédito é possível fazer um cálculo de força bruta e ao mesmo tempo realizar uma validação de Luhn que é o algoritmo responsável pela geração e validação desses cartões usando uma máquina com hardware potente. Além disso, uma empresa preocupada com seus dados não usa política de segurança da década de 90.
“Dados inúteis”? Não é bem assim. Basta o criminoso se passar pelo banco/financeira do cartão e dizer que precisa confirmar os dados do cartão, aí fala os números que tem e pede pra pessoa completar e voilà.
Já tentaram fazer isso comigo e já conseguiram fazer isso com um amigo meu (a sorte foi que ele comprovou depois do dano que não foi ele que fez os gastos).
Este tópico foi automaticamente fechado após 92 dias. Novas respostas não são mais permitidas.