Cartões do Continente alvo de ataque informático

Hipermercado reconheceu a vulnerabilidade e diz que problema já foi resolvido.

Foto
A despesa com alimentação continua em queda Enric Vives-Rubio

Os hackers afirmaram à estação televisiva que não tinham intenção de causar prejuízo e que contactaram por duas vezes responsáveis do hipermercado a alertá-los para o problema, sem terem obtido resposta. Por isso, decidiram colocar online, embora parcialmente, alguns dos dados obtidos.

A verdade faz-nos mais fortes

Das guerras aos desastres ambientais, da economia às ameaças epidémicas, quando os dias são de incerteza, o jornalismo do Público torna-se o porto de abrigo para os portugueses que querem pensar melhor. Juntos vemos melhor. Dê força à informação responsável que o ajuda entender o mundo, a pensar e decidir.

Os hackers afirmaram à estação televisiva que não tinham intenção de causar prejuízo e que contactaram por duas vezes responsáveis do hipermercado a alertá-los para o problema, sem terem obtido resposta. Por isso, decidiram colocar online, embora parcialmente, alguns dos dados obtidos.

O Continente reconheceu o ataque e a vulnerabilidade dos dados dos clientes, tendo dito à SIC que a falha de segurança foi rectificada e que o caso está entregue às autoridades.

Os atacantes explicaram também na Internet como procederam para obter a informação. Essencialmente, perceberam o padrão através do qual o Continente cria os números de cartão, pelo que foi possível criar uma lista de números de cartões válidos. Para além disto, também expuseram uma falha no site, que permite, através de tentativa e erro, experimentar sucessivamente vários números de cartão gerados pelo método anterior, até encontrar um que esteja activo.

“Sabendo o número de um cartão activo com saldo positivo, quer através de um talão esquecido [que inclui elementos como o número do cartão e o saldo], quer através dos métodos explicados anteriormente, é possível criar o respectivo código de barras, imprimir e utilizar numa qualquer caixa self-service sem qualquer tipo de verificação”, descrevem no documento que publicaram online