Implementado em 2001, o método da Visa, conhecido como 3 Domain Secure (3DS), tem por objetivo evitar fraudes em compras feitas com o cartão de crédito. Seu funcionamento, aliás, é simples: antes de completar a aquisição, o usuário deve preencher um formulário com dados pessoais e uma senha. Como o cibercriminoso, em geral, não conhece sua vítima, ele não teria como acertar tais informações.
Leia mais: Hackers criam operação Robin Hood, com ataques a bancos e "doações aos pobres"
O problema, porém, está na opção para recuperar o código. Para apagar o antigo e criar um novo, o internauta também deve fornecer alguns dados, mas estes podem ser encontrados no próprio cartão, como nome completo e data de expiração. Também é preciso informar a data de nascimento do usuário, mas hackers obtêm facilmente – sem contar que, às vezes, basta dar uma olhada no perfil do Facebook.
Para corrigir a vulnerabilidade, pesquisadores sugerem uma solução providencial: uma pergunta secreta deve ser adicionada ao formulário, uma senha – que só poderá ser utilizada uma vez – em seguida, seria enviada ao e-mail cadastrado e, ao fim, uma notificação de que o processo foi completado também chegaria à caixa de entrada.
É preciso destacar, também, que o sistema da MasterCard, chamado de Secure Code, e da American Express, SafeKey, possivelmente sofrem do mesmo problema.
Atualização
Segundo Marcelo Sarralha, diretor de produtos da Visa para o Brasil, o protocolo adotado, 3 Domain Secure, também é utilizado por outras empresas e tem como uma de suas principais qualidades a flexibilidade. O problema não está no modelo, mas no modo como ele implantado e, embora o executivo não possa comentar este caso em específico, a falha dificilmente atinge o Brasil.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário