Mundo Tech

Brecha de segurança? Fomos vítimas de golpe no Mercado Pago

Brecha de segurança? Fomos vítimas de golpe no Mercado Pago - 1

Que atire a primeira pedra quem não conhece ou nunca foi vítima de algum tipo de golpe na internet. Na era da tecnologia, o que não faltam são oportunistas tentando tirar proveito de situações que envolvem dinheiro, seja no mundo físico, seja no digital. E com tanta informação bombando na modernidade, as hordas de cibercriminosos não param de se multiplicar e mirar em alvos que envolvem transações financeiras para, de alguma maneira, conseguirem dinheiro.

Foi o que aconteceu com o Canaltech. Um de nossos colaboradores teve uma experiência um tanto desagradável com o Mercado Pago, a plataforma de pagamento digital do famoso site de compra e venda Mercado Livre. Vamos detalhar a história por partes para conscientizar nossos leitores e expor uma possível brecha ou falha no sistema da plataforma — a qual usamos há mais de quinze anos.

Parte 1: o golpe na madrugada

Em abril passado, uma email suspeito chegou em nossa caixa de entrada alegando ter sido feita uma compra no Mercado Livre via Mercado Pago no valor de três parcelas de R$ 30, pouco depois de 1h da manhã. Abrimos a mensagem, e como não reconhecemos a compra, decidimos alterar a senha, cancelar e abrir uma reclamação para cancelar a transação.


Participe do GRUPO CANALTECH OFERTAS no WhatsApp e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Como se tudo não fosse estranho o suficiente, a tal compra fantasma foi realizada com um suposto cartão Visa de final 1304, que nunca foi de posse do nosso usuário no Mercado Livre ou Mercado Pago, muito menos vinculado à nossa conta. Acontece que o tal valor foi cobrado mesmo assim, porém em outro cartão — este sim vinculado à conta do Mercado Pago — e já está em débito na segunda parcela via cartão de crédito “oficial”. A primeira foi cobrada dia 10 de março.

O vendedor golpista também tem dados suspeitos. Segundo o email que recebemos de madrugada, ele se cadastrou com o nickname Gg, usando um email completamente suspeito e não-reconhecido por nós aqui do CT.

Brecha de segurança? Fomos vítimas de golpe no Mercado Pago - 2
Cobrou sem consentimento? É golpe!

Parte 2: a conversa com o Mercado Pago

O que um consumidor faz quando se sente lesado? Procura a empresa envolvida no processo, certo? Foi o que fizemos. Entramos em contato por mensagens com o Mercado Pago, expusemos a desagradabilíssima situação e, para nossa surpresa, o atendente disse que estava fazendo o que manda o protocolo da empresa, mas que, nesse caso, teríamos de contatar o vendedor para resolver ou cancelar a compra. Mas que vendedor, se ele nunca existiu de fato? O atendente disse o seguinte:

Sinto muito que o vendedor a quem você enviou dinheiro via Mercado Pago não tenha dado informações sobre o envio do produto que foi negociado entre vocês.

Que produto, senhor atendente? Não houve compra autorizada de produto algum!

Prossigamos.

Na mesma conversa, o atendente provavelmente não entendeu ou não deu crédito à veracidade da nossa informação e insistiu que nós enviamos dinheiro consentidamente usando a plataforma Mercado Pago. Nunca enviamos esse valor, muito menos ao usuário Gg. Mas, para o MP, a recomendação cabal é de que entremos em contato com o vendedor (fantasma) para resolver o problema. Como?

De mãos e pés atados e sem conseguir provar para o e-commerce que não enviamos dinheiro, não temos cartão com final 1304 e recebemos débitos indevidos em nossa conta, seguimos com nosso problema não-resolvido, com o agravante de as três parcelas estarem sendo continuamente debitadas em valores de R$ 30. A venda é de mentira, mas o dinheiro é de verdade.

Abaixo, você lê, na íntegra, o conteúdo das mensagens trocadas com o atendente do Mercado Pago.

Brecha de segurança? Fomos vítimas de golpe no Mercado Pago - 3
Muito barulho por nada

Parte 3: onde está a brecha?

Uma coisa é certa: onde há golpe, há brecha. Resolvemos publicar esse relato para, além de expor o caso, tornar público o fato de que provavelmente existe uma falha grave na plataforma do Mercado Pago. Daí surgem algumas hipóteses: seria alguma vulnerabilidade na API da plataforma? Os cibercriminosos usaram um cartão XPTO para realizar a venda, e como esse cartão fantasma falhou, o Mercado Livre acabou cobrando de outro cartão vinculado à conta do nosso usuário, e funcional. Poderia ter sido uma invasão usando nossa senha, através de um possível vazamento anterior — o que seria ainda menos provável, já que usamos todas as etapas de segurança disponíveis e senhas aleatórias. Ou talvez um erro sistêmico do Mercado Pago, que colocou para nós uma cobrança que deveria ser direcionada a outra pessoa. Ou, quem sabe, ainda seria uma nova técnica de phishing, envolvendo nosso usuário no ML?

O grande erro é uma pessoa desconhecida ter nos enviado uma cobrança jamais solicitada e nós termos ficado sem poder de escolha. Fomos obrigados a pagar, obviamente.

Parte 4: além de lesados, fomos bloqueados

Sabe o que acontece com um mau pagador no Mercado Livre, além de receber qualificações negativas? Ele tem sua conta suspensa ou bloqueada na plataforma, ficando impossibilitado de efetuar transações, comprar ou vender. Somos usuários do ML há vários anos, já compramos e vendemos muitos itens, tínhamos uma boa experiência e uma ótima reputação no site. De repente, somos vítimas de um golpe, tentamos explicar, e em troca recebemos um bloqueio da nossa conta e uma grande frustração, fora o constrangimento.

Trocando em miúdos: fomos vítimas de um golpe, comunicamos ao Mercado Livre e o serviço se recusou a nos ajudar a resolver o problema, forçando-nos a pagar o que nunca solicitamos e bloqueando nossa conta.

Brecha de segurança? Fomos vítimas de golpe no Mercado Pago - 4
Além do prejuízo financeiro, nossa conta foi bloqueada no ML

Parte 5: o que diz o Mercado Livre

O Canaltech entrou em contato com o Mercado Livre na última quinta-feira (23) para expor os fatos e obter um posicionamento da empresa em relação ao ocorrido. No meio dessa movimentação, um email chegou nesta sexta (24) avisando que nossa reclamação foi resolvida. No entanto, fomos conferir nosso status da conta e ela permanece bloqueada no site.

Até o momento, nenhum pronunciamento oficial nos foi encaminhado. Atualizaremos esta matéria com novas informações assim que as obtivermos.

E você, já teve alguma experiência parecida com o Mercado Pago? Conte para nós nos comentários!

Trending no Canaltech:

Fonte: Canaltech


Talvez você também goste