PcComponentes nega vazamento de dados e culpa reutilização de senhas

Erik Silva
3 Min Read

Entenda o caso

A PcComponentes emitiu um comunicado oficial para negar que seus sistemas internos tenham sofrido uma invasão direta. A resposta veio após alertas de segurança divulgados pela Hackmanac, que apontavam para um suposto vazamento massivo de dados afetando a empresa espanhola. A companhia classificou o incidente como “credential stuffing”.

Índice deste conteúdo

Essa técnica consiste no uso automatizado de e-mails e senhas roubados de outros sites para tentar login em diversas plataformas. Se o usuário repete a mesma senha em vários lugares, o criminoso consegue entrar na conta.

“Um terceiro utilizou endereços de e-mail e senhas obtidos em violações de segurança em bancos de dados comprometidos, sem relação com a PcComponentes. A partir desses bancos de dados — que geralmente são publicados em fóruns da internet — os atacantes testam automaticamente e em massa essas combinações de login em múltiplas plataformas”.

Dados envolvidos e medidas de segurança

A empresa contesta o número de 16 milhões de clientes afetados divulgado nos alertas. Segundo o comunicado, a quantidade de contas ativas na plataforma é muito menor que esse valor. A loja garante que apenas clientes que reutilizaram senhas foram impactados.

Informações bancárias e senhas não teriam sido comprometidas, pois as senhas são armazenadas em formato de hash (criptografadas). No entanto, o acesso indevido permitiu a visualização de outros dados pessoais:

  • Nome e sobrenome;
  • Número do documento de identidade;
  • Endereço físico e de e-mail;
  • Endereço IP;
  • Número de telefone.

Para conter o problema, a PcComponentes encerrou todas as sessões ativas dos usuários. Agora, o login exige a resolução de um CAPTCHA e a autenticação de dois fatores (2FA) tornou-se obrigatória.

O que dizem os hackers e especialistas

A versão dos cibercriminosos difere da explicação oficial. Um perfil identificado como ‘daghitiaw’ alegou ter infiltrado a rede da loja e obtido dados de 16,3 milhões de clientes, incluindo histórico de pedidos e metadados de cartões de crédito. Para provar a ação, uma amostra com dados de 500 mil usuários foi publicada gratuitamente.

O incidente também levantou discussões sobre falhas antigas. O especialista em segurança 0xBogart relatou na rede social X que havia avisado a empresa sobre uma vulnerabilidade um ano antes. Ele afirma que teve acesso aos servidores da loja por cinco anos e só perdeu essa conexão quando a empresa migrou sua infraestrutura para a Amazon Web Services.

Mesmo sem uma invasão direta aos sistemas centrais, a exposição de dados pessoais aumenta o risco de golpes. Criminosos podem usar as informações para criar mensagens de phishing convincentes ou tentar se passar pelas vítimas em outras situações.

ByErik Silva
Follow:
Jornalista, Redator, Editor e Social Mídia. Com experiência na administração de redes sociais, Designer Gráfico, elaboração e gerenciamento de sites CMS com especialização em WordPress e Web Service. SEO (Otimização de motores de busca). Mais de 10 anos de experiência com integração em Comunicação e Marketing
Artigo anterior Smartphone 5G e TV de 75 polegadas aparecem entre as ofertas deste sábado
Próximo artigo Carreiras em alta para quem quer voltar ao mercado depois dos 60 anos