Recentemente o Bruce Schneier escreveu sobre o security mindset. Realmente é impossível evitar pensar de um jeito diferente.
Ontem, dia das mães e último dia para trocar seus tiquetes de compras para concorrer a um carro em um Shopping Center próximo de casa, fui eu com minha esposa conseguir uns tickets para, com sorte, posar de Jack Bauer (ele fez anúncio do carro em questão recentemente).
O processo consistia em passar por uma atendente que realizava um cadastro seu em um computador, conferia as notas, cadastrava as notas em seu nome e entregava o número correspondentes de coupons. Ai você preenchia o coupon com seus dados: nome, cpf, rg, endereço, telefone, etc. E colocava em uma urna transparente. Ou seja, se você fosse ’sorteado’ seu coupon poderia estar chapado no vidro para qualquer um ver. E com as profusões de câmeras digitais que temos inclusive no celular é uma forma fácil e rápida de coletar um pequeno cadastro pessoal.
Ai eu fico pensando… nome, telefone, e número da nota de compras vá lá. É uma referência necessária e uma forma rápida de contactar o felizardo. Mas será que os outros dados são necessários ? Algumas perguntas:
1- A promoção é feita pela VISA. Ou seja eu já tenho cadastro com eles ou com algum banco com quem eles tem contato. Eles não tem os meus dados cadastrados ? Suponho que não seja tão fácil assim ter acesso a estes dados… Ok
2- Eu fiz o cadastro no computador e a mocinha registrou todos os meus dados de novo, em um banco diretamente ligado a promoção. Ela inclusive fez a associação das notas com o cadastro. Eu acredito que se o negócio for minimamente sério algum batimento é realizado antes de se entregar as chaves ao sortudo. Preciso preencher no papel os meus dados de novo ? Todos aqueles ? Não seria mais fácil apenas colocar, nome, telefone e o número da nota ou do cadastro ?
3- Preencho meus dados pessoais e coloco na urna. A urna tem que ser transparente, expondo os dados dos concorrentes ? Precisa mostrar que esta cheia, então não pode ser translúcida ? Um plástico embaçado ?
4- Para onde vão estes papéis depois do sorteio ? Alguém garante a sua destruição ?
Se for começar a entrar nesta seara posso até começar a questionar se uma vez cadastrada a nota para concorrer se eu preciso dar meus dados antes de ganhar, mas aí até entendo que muita gente perderia a nota e isto poderia complicar o processo porque iria requerer vários sorteios, blá-blá-blá…
Tá, o cara tem meus dados e daí ?
- Daí que número de cpf e identidade é passe-livre no Brasil(o que também é um outro problema). Ligue para qualquer call-center e tente mudar algo no seu cadastro. O que vai ser pedido via de regra são estes dois maravilhosos dados. Se não forem naquela ficha ainda tinha telefone, endereço e outras coisas que as vezes ajudam.
- Estes dados facilitam muito uma engenharia social em você ou em alguém relacionado a você.
- E mais um monte de outras gracinhas ou nem tanto que fogem ao escopo do que quero dizer neste post.
O que deveria me assustar é que a VISA, que teoricamente é uma empresa que deveria vender segurança, e principalmente prezar pela segurança dos seus clientes, e em última instância minimizar seu prejuízo. Logo ela promove algo que expõe os dados dos seus clientes desta forma e ainda por cima manda uma mensagem de deseducação para os usuário.
Deveria mas não me assusta. Porque eu sei como são as empresas. Porque tenho certeza que os profissionais de segurança que lá trabalham tem consciência e devem viver tentando melhorar as coisas. Mas isto é uma ação de marketing e quem tocou este projeto não se consultou com eles, ou no máximo fez pouco porque como sempre o importante é “preencha com qualquer buzzword de marketing que você queira”.
Eu sou da opinião que quem faz pouco de mim como cliente deve receber tratamento recíproco. Se eu realmente perceber que algum outro concorrente se preocupa realmente comigo me ganha para sempre. Para a sorte da VISA ainda não percebo em nenhum dos outros algo consistente, então por hora vou ficando.
