E-Varejistas brasileiros enviam senhas para e-mails não confirmados, diz estudo

Em estudo realizado, pela Linha Defensiva, foi constado que os varejistas e empresas de internet no Brasil não estão adotando medidas seguras em relação às políticas de senhas. A pesquisa revela que alguns comerciantes sequer fazem uma verificação de e-mail antes de validar o cadastro no site e, no entanto, usam o próprio e-mail para recuperar a senha.

Entre as empresas de comércio eletrônico que não exigem confirmação de e-mail estão: Americanas.com, Casas Bahia, CompraFacil, Amazon, Magazine Luiza, Ponto Frio, Saraiva e Submarino. Já aquelas que, além de não exigirem confirmação enviam informações confidenciais para o e-mail não verificado, são: Americanas.com, Magazine Luiza e Saraiva.

Mesmo que o e-mail seja confirmado pelo usuário, a Linha Defensiva não aconselha utilizar o correio eletrônico para recuperação de senhas. Isto porque o e-mail pode ser roubado ou mesmo o login esquecido em um computador. Nesse caso, o invasor pode ir aos serviços e solicitar as senhas cadastradas, permitindo descobrir quais eram as senhas do usuário e obter acesso a outras contas e serviços em que a mesma senha pode ter sido utilizada.

Outro problema, informado pelo levantamento, se refere ao armazenamento inadequando de informações. Diversas empresas conservam as senhas dos seus clientes de forma legível em seu banco de dados, sem utilizar a tecnologia de hashing, a qual impede a leitura de informações até mesmo por aqueles que têm acesso ao banco de dados.