Recentemente fiz meu cadastro na corretora Mirae após ver algumas postagens aqui no fórum recomendando-a. Entretanto, observei um risco grave de segurança. Irei fazer uma reclamação formal nos canais de atendimento da corretora, e sugiro que todos que tem uma conta lá o façam também. Na pior das situações, eu recomendaria retirar todo o dinheiro e custódia da corretora até que o problema seja resolvido.
Ao criar a conta, submetemos login e senha. Se você esquecer a sua senha, ou o login, você pode tentar recuperá-los. Sugiro que todos que tem conta lá tentem fazer isto para confirmar o que estou dizendo. Ao recuperar a senha, por exemplo, a corretora então envia um email para você com a sua senha!. Isto é um problema de segurança extremamente primário. Isto significa que a corretora possui todas as senhas armazenadas como texto simples não criptografado. Vejo 2 problemas imediatos disto:
Algum funcionário mal-intencionado da empresa poderia ter acesso à sua senha e portanto à sua conta. Digamos que a empresa tenha apenas os melhores profissionais na sua folha de pagamento que nunca, em nenhuma hipótese, fariam isto; ainda nos leva ao segundo problema,
Qualquer hacker que venha a atacar a empresa (que pelo nível de segurança mostrado até agora não parece que seria difícil) e roube o banco de dados onde as senhas estão registradas terá acesso imediato e irrestrito a todas as contas.
As senhas deveriam ser armazenadas nos servidores em forma criptografada, ilegível para humanos. Quando se esquece uma senha, o sistema deveria enviar um link para que o usuário crie uma nova senha, já que a senha esquecida deveria ser irrecuperável. Tente recuperar a senha do seu gmail, por exemplo, e compare os procedimentos. Tente mesmo aqui no fórum penserico.
Tem razão, isso é uma falha básica de segurança e precisa ser corrigida.Talvez na intenção de facilitar a vida do usuário não se deram conta deste detalhe.
Na verdade isso não significa necessariamente que as senhas são armazenadas em texto. É possível que seja usada uma chave para criptografar e armazenar. Quando você solicita a recuperação de senha a chave é usada para descriptografar e a senha é enviada para você.
De qualquer forma, concordo que mesmo se for este o caso, não é o ideal, pois se essa chave for bem óbvia/fraca, um invasor realmente pode conseguir descobrir as senhas. O correto é armazenar usando algoritmos de criptografia em que não é possível descriptografar e não é possível recuperar a senha. Nesse caso o sistema pode gerar uma senha temporária aleatória e pedir para que o usuário crie outra senha.
Acho que é como foi dito acima. Devem criptografar e descriptografar para enviar por e-mail.
De qualquer modo, além da possibilidade da chave ser fraca ou descoberta, existe ainda a possibilidade de hackearem seu e-mail e por falha do usuário sua senha ser igual para algum outro serviço.
Seria bom entrar em contato com eles mesmo. O ideal é enviar uma senha temporária com link para alteração.
Pessoal, entrei em contato com eles e me disseram que as senhas são salvas criptografadas, porém há este processo de descriptografia para o envio da mesma por email. Já existe ticket aberto para melhoria e revisão deste tema.
E me pediu para quem desejar mais detalhes sobre o assunto, enviar um email para [email protected].
Acho que não pode levar somente isso em consideração, o que posso dizer é que existem outros fatores para qualificar uma corretora. esse ponto é uma falha, porém contornável, não vejo como algo que desqualifique tanto a empresa… em linhas gerais a Mirae vem sendo uma ótima corretora.
Há que se lembrar que para fazer retiradas, o dinheiro só pode ir para contas previamente cadastradas. Então, em última análise, é bem difícil alguém surrupiar o seu dinheiro.
De qualquer forma, espero que a MIRAE mude essa sistemática.