Uma das certezas de um supermercado é que o consumidor fatalmente irá se deparar com aqueles cartões de presentes pendurados ao lado do caixa para pagamento. Também conhecidos como gift cards, eles ganharam o coração do consumidor pela facilidade: em suma, basta cadastrar os dados pessoais e logo o crédito estará disponível para compras. Há inclusive aqueles recarregáveis.
No entanto, uma reportagem da revista Wired discute outro lado desses cartões: a segurança. Em setembro, Will Caput, um especialista em segurança cibernética de uma rede mexicana de fast food, vai apresentar as suas descobertas sobre a segurança abarcada nos cartões de presentes vendidos nos EUA.
De acordo com a reportagem, Caput afirma que alguns cartões de presentes possuem códigos (desvendados após a compra desses gift cards) com números praticamente seriais – e não aleatórios.
Em outras palavras, é como se dois cartões tivessem o mesmo código e somente teriam uma diferença no último número (um deles terminaria em 1 e o outro em 2). E isso não é exagero, uma vez que ele identificou cartões justamente apenas com essa diferença.
Desvendando o truque
O truque foi descoberto ao acaso durante uma visita a uma loja da rede de comida mexicana. Ele notou diversos cartões de presentes largados no caixa e não pensou duas vezes: pegou todos eles e analisou a segurança dos gift cards.
Em pouco tempo, ele identificou padrões na comparação entre dois cartões que ofertam o mesmo serviço. Tal observação resultou em uma conclusão lógica: se aqueles que foram descartados tinham as terminações 1 e 2, logo haveriam outros com finais 3 ou 4 (ou outros) ainda não utilizados e com créditos disponíveis. Assim, ele poderia utilizar os créditos ainda expostos para venda.
Para obter essa informação, o especialista utiliza um software chamado Bruteforcing Burp Intruder, que percorre 10 mil combinações possíveis para os últimos quatro dígitos do código do cartão que possui alguma semelhança com outro da mesma marca – um processo que demora cerca de 10 minutos.
Alerta precioso
Essas conclusões serviram de alerta para varejistas, que aprimoraram a segurança. É o caso do Trader Joe’s, Macy’s e Taco Bell. Por outro lado, há casos nos Estados Unidos de empresas que ainda não mudaram a segurança e continuam vulneráveis a esse tipo de ataque.
A reportagem completa (em inglês) pode ser acessada aqui.
(Por NoVarejo – ) varejo, núcleo de varejo, retail lab, ESPM