Falha de segurança na CBF revela CPF dos jogadores de futebol

Uma denúncia feita pelo jornalista Juca Kfouri revelou uma grave falha de segurança da informação no site da CBF (Confederação Brasileira de Futebol), que expunha o CPF de diversos jogadores que atuam em clubes do País.

“O que permite não só conhecer a situação fiscal do profissional como, eventualmente, usar a informação para finalidades indevidas”, destaca o jornalista, em seu blog no portal UOL.

A falha detectada por Juca Kfouri está na área conhecida como BID: o Boletim Informativo Diário, um sistema da CBF que concentra as informações contratuais entre clubes e atletas.

O BID está aberto para livre conferência de diretores, empresários, jornalistas e de qualquer torcedor que acesse o site da CBF. E é justamente aí que reside o problema: com apenas três cliques no mouse, era possível acessar o número de CPF da maioria dos jogadores, investigando o código-fonte da página.

Fizemos o teste com diversos atletas, de vários clubes, e em todos o resultado foi o mesmo: CPFs válidos, atrelados aos próprios jogadores: profissionais, juvenis, de clubes da primeira divisão, da segunda, terceira e até amadores. A falha de segurança se deu, provavelmente, porque o cadastro junto ao BID da confederação está atrelado ao CPF dos atletas, e isso ficava à mostra no site.

7 a 1 para os fraudadores

O BID também concentra outras informações pessoais básicas sobre os atletas, como nome completo e data de nascimento (que também poderiam ser obtidas facilmente na internet, em sites como a Wikipedia ou dos próprios clubes, no caso de jogadores mais “famosos”).

Mas, com a exposição do CPF de cada jogador, pessoas mal intencionadas têm tudo o que precisam para a realização de compras fraudulentas em lojas virtuais. Basta ter em mãos algum dado válido de cartão de crédito – já que, como sabemos, a validação do nome do portador do cartão não é realizada no fluxo de pagamento on-line.

Performa.AI
Smarthint

Cabe às lojas virtuais, então, a verificação sobre a veracidade de determinada compra. Um e-commerce que baseie a análise de risco de uma compra on-line somente na verificação de dados cadastrais, e não se atente a outros fatores, corre o risco de sofrer um baque considerável de golpes.

Por exemplo: imagine um e-commerce que recebe, no mesmo dia, 30 pedidos feitos por clientes homens, de 20 a 35 anos, com cadastros perfeitos: CPFs válidos e que conferem com os respectivos nomes e outras informações na Receita Federal. Suspeito? Aparentemente não.

Mas e se todos esses 30 pedidos fossem tivessem sido feitos pelo mesmo computador? Ou um mesmo cartão de crédito tenha sido utilizado para o pagamento de mais de um pedido diferente? E, em todos os casos, os clientes tenham feito compras logo após criarem uma conta no site, viram apenas um produto na loja, copiaram e colaram dados na página de pagamento…

E agora, suspeito? Muito mais, não é?

Pois é… nada teria impedido um fraudador de coletar dados de diversos atletas profissionais na página da CBF e utilizado estas informações para criar cadastros “perfeitos” de clientes e utilizado estas contas para compras fraudulentas, não?

Outro agravante é que muitos jogadores de futebol ficam conhecidos por apelidos, ou até mesmo usam outros nomes (é sério!). Logo, não é todo mundo que sabe que o José Santos Silva das Couves é, na verdade, o craque Zé Bigode, artilheiro e melhor jogador do último campeonato.

Dados cadastrais? Sério mesmo?

Nossas informações pessoais estão pulverizadas pela internet, por diversos motivos – e um deles é o mau uso ou mau armazenamento por parte de sites e empresas, como no caso da CBF (que não é exclusivo). Recentemente, a Rádio Bandeirantes descobriu uma quadrilha especializada em revender informações pessoais de mais de 70 milhões de brasileiros!

Ou seja: um e-commerce que se atém somente ao discurso de que “quanto maior a base de dados que eu tenho, menos chances eu tenho de sofrer fraudes” está correndo sérios riscos… concorda?

Tom Canabarro
Tom Canabarro é cofundador da Konduto, startup brasileira especializada em análise de fraude e comportamento de compra na internet.
  • Todos Fornecedores
  • Armazenamento
  • Consultoria
  • Entrega
  • Marketplace
  • Performance
  • Plataformas
    • Gestão de Anúncios
    • Atendimento ao Cliente
    • E-Mail Marketing
    • Sistema de ERP
    • Pagamento Online
    • Mídias Sociais
    • Plataforma de E-Commerce
    • Precificação Dinâmica
    • Vitrine Personalizada
  • Serviços
    • Escola Especializada
    • Logística
    • Agência Especializada
    • Redirecionamento de Encomendas
  • Soluções
 
Moovin
EZ Commerce
Rakuten
Bling
Accesstage
Mailbiz
LojaMestre
Neoassist
DLojavirtual
Dotstore
Seri.e Design
GhFly
E-Millennium
Bis2Bis
Bluefoot
F1soluções
Xtech Commerce
ComSchool
Brasil na Web
Nação Digital
E-Commerce Logística
Socialrocket
Precode
Smarthint
JET e-business
 

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.