No mês passado, noticiaram que os cartões de fidelidade da Starbucks tinham uma falha de segurança. A falha foi descoberta e explorada por Egor Homakov, um hacker que trabalha para testes de penetração, auditoria de código-fonte e empresa de avaliação de vulnerabilidades Sakurity.
A brecha permitia a Egor duplicar fundos em um cartão-presente da Starbucks, que ele conseguiu gastar em uma loja sem ser questionado nem alertar a empresa sobre sua atividade.
As notícias manchetes em todo o mundo, tanto pela existência da falha em primeiro lugar, mas também por Starbucks resposta não-friendly - com o gigante do café não para agradecer-lhe e em vez disso discutir suas ações em termos de "fraude" e “ações maliciosas”.
Embora a falha de PR da Starbucks seja superficialmente risível, ela também deve causar preocupação.
Quão disseminada é o problema?
À medida que os criminosos procuram formas cada vez mais sorrateiras de pegar dados e colocar as mãos em qualquer coisa com valor, os cartões de fidelidade e os cartões-presente correm o risco de se tornar o mais recente representante da guerra em curso.
No final do ano passado, a American Airlines e a United Airlines se tornaram vítimas de um hack similar - com mais de 10.000 panfletos vendo milhas aéreas roubadas. Os criminosos usaram as milhas das vítimas para atualizar seus próprios voos e reservar feriados gratuitos Como economizar dinheiro em seu pacote de férias seguinte Como economizar dinheiro em seu próximo pacote de férias Todos nós precisamos de uma boa férias de vez em quando. Se um feriado está no seu horizonte, considere a reserva de um pacote de férias. Aqui estão algumas opções. Leia mais e, nos casos em que os usuários têm a mesma senha para vários sites, acesse outros serviços.
A própria Starbucks foi alvo no passado. Além do hack do “free café” de Egor Homakov, foi descoberto frequentemente que criminosos seqüestram as contas de fidelidade dos consumidores, esvaziam o saldo e usam a função de recarregamento automático para hackear quaisquer detalhes associados a cartões de débito e crédito.
A analista de segurança da Gartner, Avivah Litan, diz que todo o esquema é parte de uma nova tendência. "A fraude está se afastando dos bancos para grandes empresas de comércio eletrônico", disse ela. "Criminosos estão aprendendo como transformar recompensas em programas, pontos e cartões pré-pagos em dinheiro."
Por que eles são vulneráveis?
Empresas como a Starbucks costumam ter sistemas e medidas de segurança muito mais fáceis de hackear do que as dos bancos, cartões de crédito e outras instituições financeiras.
Litan usa o exemplo de software de combate a fraudes bancário e varejista. Esse software normalmente detecta padrões incomuns de compra (como compras de alto valor em um país estrangeiro), mas as recargas automáticas de um cartão-presente não acionarão tais avisos.
Para os criminosos, esta é uma mina de ouro em potencial. O sistema de pagamento móvel da Starbucks 7 Serviços para aceitar o pagamento móvel em seu telefone 7 Serviços para aceitar o pagamento móvel em seu telefone Cansado de deixar cheques e dinheiro no banco? Boas notícias - você não precisa. A Read More tem mais de 16 milhões de usuários e processou mais de US $ 2 bilhões em transações móveis somente no ano passado.
Por que criminosos querem acesso a cartões de recompensa?
É fácil entender a atração dos criminosos por cartões que têm uma função de recarga automática ou estão diretamente associados a um cartão de débito ou crédito. Tal como acontece com o cartão Starbucks, estes podem ser facilmente explorados para obter ganhos financeiros - mas e quanto aos pontos de recompensa?
Criminosos querem acesso a cartões de recompensa por uma razão principal - detalhes do consumidor.
Os detalhes do consumidor são realmente mais valiosos para um criminoso do que os detalhes do seu cartão de crédito. Enquanto as empresas que foram hackeadas sempre se movem rapidamente para garantir a seus clientes que “nenhum dado pessoal foi roubado”, na realidade isso está oferecendo um falso conforto.
Se um hacker se apossar dos detalhes do seu cartão de crédito, ele poderá usá-los para fazer compras de ofertas automáticas on-line e economizar tempo fazendo compras on-line a cada vez! Automatize as transações e economize tempo fazendo compras on-line toda vez! Você não precisa gastar horas pesquisando preços, procurando códigos de cupom e se inscrevendo em e-mails que não deseja para obter bons negócios on-line. Leia mais e venda-os para outros criminosos online - isso é sobre a extensão do dano. No entanto, se um hacker tiver seu nome, endereço, data de nascimento e outras informações oficiais, ele poderá cometer fraudes on-line. Quem são os golpistas? Seguindo o dinheiro roubado como fraudes on-line Quem são os golpistas? Seguindo o dinheiro roubado como fraude on-line Quem são as pessoas que lucram com a fraude on-line? Para onde o dinheiro está indo? Olhe para além da "fraude da taxa antecipada da Nigéria" - você ficaria surpreso quando o dinheiro realmente leva. Leia mais e solicite cartões de crédito, empréstimos, contratos de telefonia móvel e até mesmo hipotecas em seu nome. Em última análise, eles podem fazer qualquer coisa que exija uma verificação de identidade.
Você deveria estar preocupado?
A resposta curta para essa pergunta é "sim". É por isso que a resposta tépida da Starbucks a Egor Homakov era tão preocupante. Eles devem se importar muito mais e ser muito mais vigilantes na proteção dos clientes.
Claro, as dicas de segurança on-line habituais O Guia da Conspiração-Teórico Paranóico Para a Privacidade e a Segurança On-line O Guia da Conspiração-Teórico Paranóico Para a Privacidade e a Segurança Online Você pode ficar anônimo on-line? Com não muito e o uso de ferramentas de criptografia, segurança e privacidade baseadas na Web fáceis de usar, acreditamos que você pode. Nos deixe mostrar como. Leia Mais para garantir que todas as suas senhas sejam diferentes, tenha cuidado com o que você acessa em redes públicas e execute um software antivírus eficaz, mas elas não serão suficientes para protegê-lo.
É extremamente difícil controlar se as informações pessoais são roubadas ou não, e é quase impossível limitar os danos se for. As pessoas não podem alterar seus nomes, endereços e números de seguridade social tão facilmente quanto cancelar um cartão de crédito.
Os cartões de fidelidade valem os riscos?
Se você considerar risco versus recompensa, há um argumento para sugerir que você deve despejar todos os seus cartões de fidelidade.
Os esquemas de fidelidade são extremamente valiosos para as empresas que os operam. Eles revelam detalhes sobre os hábitos de compra dos clientes, ajudam a reter os clientes, criam defensores da marca e reduzem os custos promocionais e de publicidade.
Por outro lado, há uma quantidade crescente de pesquisas que sugerem que elas não são mais um bom negócio para os consumidores. Na Costa Coffee no Reino Unido, os clientes agora precisam comprar 39 Americanos apenas para obter os 195 pontos necessários para um café grátis - em outras palavras, eles precisam gastar 76, 05 libras (mais de 100 dólares) para economizar apenas 1, 95 libras (pouco mais de 3 dólares). ).
Esta média é de cinco pence por economia de café. Se você é um consumidor financeiramente prudente, o mais inteligente seria ver se quaisquer outras cafeterias em sua vizinhança vendem café por menos de £ 1, 90.
As perguntas que você precisa fazer a si mesmo são: “Todos os meus dados pessoais, endereços de e-mail e números de cartões de crédito valem mais do que uma economia de cinco pence?” E “Vale a pena me expor a essa crescente área de crimes cibernéticos? e fraude (e entregar todas as minhas preferências de compras para empresas corporativas) por um retorno tão pequeno? ”
A resposta deveria ser não.
VOCÊ usa cartões de fidelidade?
Qual a sua experiência com cartões de fidelidade? Você já perdeu dinheiro através deles? Talvez você esteja do outro lado do espectro e tenha visto uma economia enorme?
Nós adoraríamos ouvir seus pensamentos. Deixe-nos seus comentários e feedback na caixa abaixo.
Créditos da Imagem: Ladrão carregando uma bolsa via Shutterstock