Blog da KondutoNotícias da fraude

Falha de segurança no site da CBF revela o CPF dos jogadores de futebol

Por 21 de março de 2017 abril 23rd, 2018 Nenhum comentário

soccer

Este é mais um artigo da série: checagem de dados cadastrais não pode jamais ser a principal arma para um lojista barrar compras fraudulentas.

Uma denúncia feita pelo jornalista Juca Kfouri revelou uma grave falha de segurança da informação no site da CBF (Confederação Brasileira de Futebol), que expunha o CPF de diversos jogadores que atuam em clubes do País.

“O que permite não só conhecer a situação fiscal do profissional como, eventualmente, usar a informação para finalidades indevidas”, destaca o jornalista, em seu blog no portal UOL.

A falha detectada por Juca Kfouri está na área conhecida como BID: o Boletim Informativo Diário, um sistema da CBF que concentra as informações contratuais entre clubes e atletas.

O BID está aberto para livre conferência de diretores, empresários, jornalistas e de qualquer torcedor que acesse o site da CBF. E é justamente aí que reside o problema: com apenas três cliques no mouse, era possível acessar o número de CPF da maioria dos jogadores, investigando o código-fonte da página.

Fizemos o teste com diversos atletas, de vários clubes, e em todos o resultado foi o mesmo: CPFs válidos, atrelados aos próprios jogadores: profissionais, juvenis, de clubes da primeira divisão, da segunda, terceira e até amadores. A falha de segurança se deu, provavelmente, porque o cadastro junto ao BID da confederação está atrelado ao CPF dos atletas, e isso ficava à mostra no site.

7 a 1 para os fraudadores

7-1

O BID também concentra outras informações pessoais básicas sobre os atletas, como nome completo e data de nascimento (que também poderiam ser obtidas facilmente na internet, em sites como a Wikipedia ou dos próprios clubes, no caso de jogadores mais “famosos”).

Mas, com a exposição do CPF de cada jogador, pessoas mal intencionadas têm tudo o que precisam para a realização de compras fraudulentas em lojas virtuais. Basta ter em mãos algum dado válido de cartão de crédito – já que, como sabemos, a validação do nome do portador do cartão não é realizada no fluxo de pagamento on-line.

Cabe às lojas virtuais, então, a verificação sobre a veracidade de determinada compra. Um e-commerce que baseie a análise de risco de uma compra on-line somente na verificação de dados cadastrais, e não se atente a outros fatores, corre o risco de sofrer um baque considerável de golpes.

Por exemplo: imagine um e-commerce que recebe, no mesmo dia, 30 pedidos feitos por clientes homens, de 20 a 35 anos, com cadastros perfeitos: CPFs válidos e que conferem com os respectivos nomes e outras informações na Receita Federal. Suspeito? Aparentemente não.

Mas e se todos esses 30 pedidos fossem tivessem sido feitos pelo mesmo computador? Ou um mesmo cartão de crédito tenha sido utilizado para o pagamento de mais de um pedido diferente? E, em todos os casos, os clientes tenham feito compras logo após criarem uma conta no site, viram apenas um produto na loja, copiaram e colaram dados na página de pagamento…

E agora, suspeito? Muito mais, não é?

Pois é… nada teria impedido um fraudador de coletar dados de diversos atletas profissionais na página da CBF e utilizado estas informações para criar cadastros “perfeitos” de clientes e utilizado estas contas para compras fraudulentas, não?

Outro agravante é que muitos jogadores de futebol ficam conhecidos por apelidos, ou até mesmo usam outros nomes (é sério!). Logo, não é todo mundo que sabe que o José Santos Silva das Couves é, na verdade, o craque Zé Bigode, artilheiro e melhor jogador do último campeonato.

Dados cadastrais? Sério mesmo?

eyes

Nossas informações pessoais estão pulverizadas pela internet, por diversos motivos – e um deles é o mau uso ou mau armazenamento por parte de sites e empresas, como no caso da CBF (que não é exclusivo). Recentemente, a Rádio Bandeirantes descobriu uma quadrilha especializada em revender informações pessoais de mais de 70 milhões de brasileiros!

Ou seja: um e-commerce que se atém somente ao discurso de que “quanto maior a base de dados que eu tenho, menos chances eu tenho de sofrer fraudes” está correndo sérios riscos… concorda?

A Konduto é muito (MUITO!) mais que dados cadastrais

Somos uma empresa que desenvolveu uma tecnologia inovadora para barrar fraudes no e-commerce. Analisamos como um cliente se comporta desde o primeiro momento em que acessa o seu site até o instante em que a compra é concluída e geramos em tempo real uma recomendação sobre aquela transação.

Além dos dados cadastrais, nosso sistema também reúne outras informações básicas como fingerprint e geolocalização, dentre outras, e passa todos estes dados por um filtro de inteligência artificial. A venda é analisada em menos de 1s, sem prejudicar ou causar transtorno à operação do lojista. Nosso algoritmo de machine learning aprende com cada análise e evolui com o passar do tempo, reduzindo cada vez mais o número de fraudes.

Quer saber mais? Ficou alguma dúvida?

Fale com a gente no e-mail oi@konduto.com

Felipe Held

Autor Felipe Held

Maratonista, palmeirense, beatlemaníaco e enciclopédia de piadas do Chaves, Felipe foi Head de Comunicação e Marketing da Konduto entre outubro de 2015 e outubro de 2020. Jornalista pela Cásper Líbero e pós-graduado em marketing pela ESPM, trabalhou em redações esportivas de Gazeta, UOL e Terra antes de entrar para o mundo de prevenção à fraude. Já entrevistou Pelé, Maria Esther Bueno, Guga, Guardiola e Bernardinho, mas diz que os dias mais incríveis da carreira foi quando apresentou a duas primeiras edições do Fraud Day.

Mais posts de Felipe Held

Deixe um comentário