Ataque ao Mercado Livre e às Lojas Americanas mostra que o e-commerce é alvo de cibercrime

Em 2020, o e-commerce brasileiro cresceu consideravelmente junto com a onda de casos de covid-19 e o isolamento social imposto pelos governos locais. O resultado transformou em hábito comprar online e, segundo dados da Confederação Nacional do Comércio de Bens, Serviços e Turismo (CNN), o e-commerce cresceu no Brasil em 2021 cerca de 38%, com faturamento na casa dos R$ 300 bilhões. Junto com ele, também veio o cibercrime, que vê no e-commerce uma oportunidade de lucro.

LEIA MAIS: Mais da metade dos brasileiros sofreram crimes cibernéticos em 2021

O resultado disso foram os recentes ataques sofridos pela Americanas e pelo Mercado Livre. A primeira teve sua rede de sites derrubada, enquanto o segundo sofreu vazamentos de dados de clientes. Sandro Süffert, CEO da Apura Cyber Intelligence, empresa especializada em segurança cibernética e apuração de ameaças, diz que os sites de e-commerce de grandes empresas são sempre alvo do cibercrime, que não mede esforços para quebrar sistemas de segurança e roubar dados cadastrais de clientes dessas grandes lojas. 

A opinião é compartilhada por Fernando de Falchi, gerente de Engenharia de Segurança da Check Point, outra empresa do setor de cibersegurança. Para ele, os cibercriminosos se aproveitam da falta de uma estratégia de segurança adequada e por erros humanos, por exemplo a falha na atualização dos servidores.  

“Como estimamos em 2021, a perspectiva em relação a esses ataques cibernéticos é de intensificarem-se a cada dia, com a sofisticação e a escala dos ciberataques continuando a quebrar recordes”, afirma Falchi. A expectativa é que os ataques aumentem ainda mais em 2022. 

Sites Americanas.com e Submarino ficaram fora do ar 

No dia 20 de fevereiro, os sites da Americanas S.A ficaram fora do ar. Durante três dias, Americanas.com, Submarino e Shoptime não realizaram nenhuma venda online. O e-commerce foi alvo do grupo de cibercrime Lapsus, o mesmo que diz ter atacado o Ministério da Saúde no fim do ano passado. 

Em nota, o grupo informou que suspendeu “parte dos servidores do ambiente de e-commerce na madrugada deste domingo (20/02) e acionou prontamente seus protocolos de resposta assim que identificou acesso não autorizado”. O ataque não chegou a afetar as lojas físicas, que seguiram operando, mas, segundo o jornal Folha de São Paulo, a queda dos sites causou um prejuízo diário de R$ 110 milhões para a Americanas S.A. 

Em outro comunicado da companhia, divulgado após a volta dos sistemas em 23 de fevereiro, a Americanas S.A informou que “não há evidência de comprometimento das bases de dados. As equipes continuam mobilizadas, com todos os protocolos de segurança, e atuarão para a retomada integral no mais curto espaço de tempo. A companhia reforça que a segurança das informações é sua prioridade e que continuará mantendo o mercado, clientes e parceiros atualizados”. 

Dados de telefone e e-mail de 300 mil clientes do Mercado Livre vazam 

Já o Mercado Livre foi alvo de um ataque diferente. No dia 7 de março, o e-commerce foi vítima do cibercrime e sofreu o vazamento de informações de 300 mil clientes. Segundo o marketplace, parte de seu código-fonte foi acessado de forma não autorizada. No entanto, a empresa afirmou que não encontrou evidências de que seus “sistemas de infraestrutura tenham sido comprometidos ou que tenham sido obtidas senhas de usuário, saldos em conta, investimentos, informações financeiras ou de cartão de pagamento”. 

As informações que teriam sido vazadas são telefone e e-mail de usuários. Dessa forma, é preciso que qualquer cliente do Mercado Livre se atenha a mensagens e e-mails recebidos da plataforma, pois podem ser alguma estratégia de phishing de atacantes. O ideal, no momento, é ignorar essas mensagens e trocar a senha do e-commerce – mesmo que o Mercado Livre tenha anunciado que senhas não tenham sido vazadas. 

O Procon-SP já notificou o Mercado Livre cobrando explicações sobre o vazamento de dados de usuários e providências tomadas pela empresa. A Autoridade Nacional de Proteção de Dados (ANPD) ainda não fez nenhum pronunciamento oficial.