A PCDiga apelida-se atualmente como uma das maiores lojas de venda de componentes eletrónicos em Portugal. No entanto, para quem tenha realizado de forma recente compras pela plataforma e usado o sistema de pagamentos via cartão de crédito, existe a possibilidade que os dados introduzidos na mesma possam ter sido comprometidos.
O caso começou a ser relatado durante o dia de ontem no Twitter, pelo utilizador “Tomahock”. Numa mensagem publicada na plataforma, este alertou sobre a existência de um script malicioso na loja online, que estaria a surgir durante o processo de encomenda.
O script em questão é conhecido por atacar lojas baseadas na plataforma Magento, e possui como objetivo levar ao roubo dos dados de cartões de crédito introduzidos na mesma. Neste caso em particular, o script estaria a carregar durante o processo de encomenda na loja online da PCDiga, com o potencial de possivelmente comprometer os dados introduzidos nesta etapa.
Depois de o caso ter sido publicamente reportado, o script malicioso foi removido da plataforma, tendo a PCDiga deixado um comunicado relativamente à situação. Segundo o mesmo, a empresa afirma que o script esteve presente no site durante algumas horas do dia 2 de agosto de 2021, mas que nenhum dado dos clientes foi afetado, visto que a empresa não processa nem armazena diretamente os mesmos.
Numa atualização posterior do comunicado, a empresa afirma que os utilizadores afetados e que tenham realizado pagamentos via cartão de crédito nos últimos dias irão ser prontamente notificados sobre o incidente.
Além disso, a empresa afirma ainda que o incidente foi prontamente comunicado à Comissão Nacional de Proteção de Dados, bem como o meio de pagamento via Cartão de Crédito temporariamente suspenso da plataforma até que a situação esteja totalmente resolvida.
Apesar dos esclarecimentos deixados, existem relatos de que o problema poderia estar presente na plataforma faz bastante mais tempo. Em comentários do Facebook é possível verificar utilizadores que confirmam que os seus softwares de antivírus estariam a marcar possíveis scripts maliciosos na loja da plataforma faz cerca de uma semana antes de terem sido publicamente revelados.
A empresa também aparentava ter conhecimento da existência do script, sendo que numa resposta deixada em comentários no Facebook, a mesma indicava que seria um falso-positivo associado com o software de segurança Kaspersky, e que estaria em vias de ser resolvido.
O caso viria a confirmar-se dias depois como sendo o script malicioso, o qual não aparenta ter sido removido desde então - até que a descoberta foi publicada no Twitter.
Além disso, o script encontra-se destinado a roubar dados dos cartões de crédito e outras informações financeiras usadas pelos clientes durante o processo de encomenda, sendo que mesmo que o site associado não guarde essas informações, a informação ainda pode ter sido recolhida e comprometida da mesma forma – algo pelo qual o script é reconhecido.
O processo de encomenda na loja online da PCDiga, nos casos de pagamentos via cartão de crédito, exige que os utilizadores coloquem os dados do mesmo diretamente no portal. Ou seja, o script teria, a partir do mesmo, acesso a todos os dados que foram introduzidos no site.
Todas as encomendas das quais foram realizados pagamentos via cartões de crédito, os dados dos mesmos poderão estar, à partida, comprometidos.
Apesar de não existir uma confirmação oficial de quando os primeiros relatos começaram a surgir, tendo em conta os comentários deixados no Facebook por clientes da plataforma, acredita-se que o primeiro incidente tenha sido comunicado à empresa no dia 27 de Julho de 2021.
Tentamos entrar em contacto com a PCDiga relativamente a esta situação, sendo que esta reverteu a mesma para o seu comunicado. No entanto, será extremamente recomendado que qualquer utilizador que tenha realizado compras de forma recente na plataforma, e usado o pagamento via Cartão de Crédito, fique atento a qualquer atividade suspeita sobre os mesmos.
Atualização (04/08/2021): O comunicado da empresa foi durante o dia de hoje atualizado, com a informação de que os utilizadores afetados e que tenham realizado pagamentos via cartão de crédito nos últimos dias irão ser prontamente notificados sobre o incidente.
Além disso, a empresa afirma ainda que o incidente foi prontamente comunicado à Comissão Nacional de Proteção de Dados, bem como o meio de pagamento via Cartão de Crédito temporariamente suspenso da plataforma até que a situação esteja totalmente resolvida.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech