Pela terceira vez em menos de dois anos, o protocolo SSL – uma das mais famosas formas de comunicação criptografada na web – foi quebrado. Em outubro, três pesquisadores do Google encontraram o bug, batizado de Padding Oracle on Downgraded Legacy Encryption – ou simplesmente POODLE –, na versão 3.0 do protocolo. Este erro possibilita a interceptação de dados (de contas bancárias e senhas diversas) trocados entre usuários e servidores de empresas. Utilizando aplicações e outros meios, hackers podem alterar informações ou acessá-las diretamente nas ferramentas sem serem detectados.
Basear a segurança das transações eletrônicas exclusivamente em um protocolo tão suscetível a problemas é muito arriscado, e não apenas para usuários. As empresas que vazarem dados de cartão de seus clientes precisarão arcar com multas e a consequente perda de confiança por parte de atuais e futuros clientes – um dos ativos mais importantes de qualquer empreendimento, dentro ou fora da Internet.
Poucos gateways de pagamento no Brasil utilizam proteções sobressalentes para os dados. Uma delas, chamada BSE (browser-side encryption) codifica essas informações dentro do navegador do próprio usuário, impedindo o acesso por parte da loja ou site de serviços. Isso também é interessante para o outro lado da bancada, já que nenhum desenvolvedor interno terá a chance de perder ou colocar dados em risco. Com a proteção extra, mesmo que o protocolo SSL se torne obsoleto, as informações continuarão protegidas.
Algumas mudanças na configuração do navegador podem desabilitar o uso do SSL 3.0, e versões atualizadas de browsers como Firefox e Chrome já vêm com esse suporte desligado por padrão. A questão é que a responsabilidade pela segurança das transações nunca pode ser repassada ao consumidor, que não quer nem saber de onde o problema surgiu, na maioria dos casos. Contar com um sistema que assegure clientes e lojistas virtuais é, sem dúvida, não apenas uma opção, mas a mais útil e operacional hoje em dia.
*Henrique Dubugras é sócio-fundador do Pagar.me, solução digital voltada a empreendedores virtuais, atuando como Gateway – e facilitador – entre empresas e toda a burocracia que elas enfrentam para receber pagamentos