Privacidade em 2019??? Esqueça!

Privacidade em 2019??? Esqueça!

– Oi! É da Pizzaria do Jorge?
– Não senhor, aqui é da Google Pizzaria.
– Então é número errado.
– Não Sr.. o Google comprou a Pizzaria do Jorge.
– Bom.. Pode anotar meu pedido?
– Depende… O sr. vai querer o de sempre?
– O de sempre? Você me conhece?
– Nosso identificador de chamadas mostra que nas últimas 6 vezes, o pedido foi metade Calabresa, metade 4 queijos.
– Err… tá certo… É isso.
– Posso sugerir Portuguesa, ao invés de Calabresa, sr.?
– Não, eu odeio pimentão.
– Mas o seu colesterol não está bom.
– Quê?
– É o que diz o seu último exame de sangue.
– Tá… mas eu já tomo remédio para o colesterol.
– Não ultimamente… a última caixa que o sr. comprou foi há 3 meses pela internet.
– Ora.. semana passada eu comprei sim, mas pessoalmente.
– Não consta no seu cartão de crédito.
– Eu paguei em dinheiro.
– De acordo com seu extrato, você não fez retiradas em dinheiro.
– Eu tenho outra fonte de renda.
– Hum… bem… Isso não consta no seu IR… seria um fonte de renda não declarada?? Ihhh…
– Que diabos? Chega! Estou farto do Google, Facebook, WhatsApp, Twitter.. Vou para uma ilha sem internet, celular, GPS e nem ninguém me espionando.
– Entendo senhor.. mas então precisa renovar seu passaporte.. Expirou há 5 semanas.

Texto adaptado por Eduardo Bruno do original https://www.linkedin.com/feed/update/urn:li:activity:6272267975328301056/

Como não fazer um formulário

Como não fazer um formulário

O festival Rio2C ocorre entre 3 e 8 de Abril na Cidade das Artes, no Rio de Janeiro.

Por ser um evento privado, que cobra um valor considerável para participação (veja os valores aqui), era esperado um cuidado maior com relação a sua interação com o público. Apesar disso, o que vemos na prática é em pleno 2018 a organização solicitar, para participação de um dos subeventos, preenchimento obrigatório de campos como telefone fixo. Quantas pessoas você conhece que ainda usam? Isso sem contar que que muitos nem possuem mais, como por exemplo esse indivíduo que escreve aqui. Qual seria a necessidade de um telefone fixo para participação? Nenhuma!

Vejam o formulário completo no link e imagem abaixo:
https://docs.google.com/forms/d/e/1FAIpQLSe3bVqFjjmcUVbDdWBwg-py_gnlh3Jvkw3-CfzDYYPF_RbXzA/viewform

Sempre que for elaborar um formulário analise:

  1. Que dados você realmente precisa?
  2. Quais informações adicionais você pode solicitar opcionalmente sem ser muito invasivo?

Formulários mal elaborados resultam em baixo preenchimento. Isso pode significar uma venda perdida, um prospect não convertido e uma oportunidade perdida.

Rio2C – It’s all about useless data.

Vazamento de dados e segurança digital

Vazamento de dados e segurança digital

Recentemente a NetShoes tornou público o vazamento de dados de seus clientes, que no início de 2018 totalizavam mais de 2 milhões. Por fazer parte da bolsa de valores Americana, a empresa é obrigada a notificar este tipo de ocorrência a Securities and Exchange Commission (SEC). Segundo a empresa, autoridades Brasileiras foram notificadas e a polícia investiga a questão. Segundo fontes internas, os Hackers tentaram negociar um valor pela não divulgação dos dados, mas a empresa se manteve irredutível e não negociou com os criminosos.

Grande parte das empresas pecam em não contratar uma empresa ou consultor externo para validar sua segurança. Equipes internas podem cometer falhas que são facilmente mapeadas por alguém que não esteja no dia a dia da empresa. As vezes uma simples brecha permite alguém mal intencionado acessar dados sigilosos e fazer com que a empresa corra sérios riscos.

E engana-se quem acha que auditoria de segurança de dados tem conexão apenas com a máquina. Muitos criminosos fazem uso de engenharia social para conseguir informações adicionais para completar seu objetivo. Pequenos descuidos de funcionários e falta de procedimentos de segurança tendem a facilitar o processo de invasão.

Quando foi a última vez que você ou sua empresa contratou uma auditoria de segurança? Se a resposta foi nunca ou a mais de um ano, aconselho ligar o alerta e providenciar isto o quanto antes.

Leia a íntegra do comunicado da Netshoes:

“Em decorrência das notícias publicadas na data de hoje (terça-feira, 27 de fevereiro de 2018) – como réplicas de nota originalmente publicada por grande agência de notícias internacional, a Netshoes esclarece que não há nenhum fato novo relacionado ao episódio de divulgação de dados de consumidores da companhia. O comunicado enviado à SEC (Securities and Exchange Commission), que desencadeou a publicação de notícias na presente data, é meramente protocolar, em função de a Netshoes comercializar ações na Bolsa de Nova York (NYSE) desde abril de 2017.

Com origem em dezembro de 2017, o caso da divulgação de dados da empresa, inclusive, teve desfecho parcial em reunião com o Ministério Público do Distrito Federal e Territórios (MPDFT) – realizada no último dia 22 de fevereiro. Na ocasião, foi acordado que a empresa fará a comunicação pessoal, por meio de contato telefônico, a todos os clientes que tiveram seus dados disponibilizados por terceiros na internet.

A Netshoes reforça ainda que, após minuciosa apuração interna – que contou com apoio de empresa especializada em segurança digital e comunicação à Polícia Federal desde o início do caso – chegou-se à conclusão, em linha com comunicados anteriores da companhia, de que não há qualquer indício de invasão à sua estrutura tecnológica.

Desde o primeiro momento em que foi noticiado o caso, todas as providências cabíveis foram tomadas. Durante todo o processo, o objetivo foi solucionar o crime virtual, não ceder a qualquer extorsão e proteger seus consumidores.

A empresa reforça que adota todas as medidas e melhores práticas de segurança da informação e que não negocia, nem nunca negociará, com criminosos.”

Seu Android foi Hackeado?

Seu Android foi Hackeado?

Qualquer um que possua uma versão antiga do Android pode estar infectado com o Malware Gooligan. Dados apontam que mais de 13.000 aparelhos com Android são infectados por este Malware todos os dias, colocando em risco dados privados de mais de 1 milhão de usuários.

Aplicativos baixados da Play Store que estão invectados exibem propagandas e links que permitem os hackers acessar dados do Gmail, Drive e Photos. Algumas denúncias apontam que também são realizadas compras na Play Store e postagem de reviews na mesma.

Qualquer usuário que utilize um equipamento (celular ou tablet) que rode Android nas versões 4 e 5 — incluindo Jelly Bean, KitKat e Lollipop — possuem grande risco. Levantamentos indicam que estas versões respondem por 75% dos equipamentos Android em uso.

Uma empresa chamada Check Point desenvolveu uma ferramenta para checar se a conta Google está na lista de contas infectadas. Para verificar, acesse: https://gooligan.checkpoint.com/

Alerta Heartbleed: sua senha e seus dados podem ter sido hackeados

heartbleed

A notícia de tecnologia bombástica da semana foi a descoberta de um bug nominado Heartbleed na amplamente usada biblioteca de criptografia OpenSSL. A descoberta da vulnerabilidade foi feita por pesquisadores do Google e da Codenomicon, uma pequena empresa de segurança. Através do erro é possível copiar dados dos dispositivos vulneráveis, possibilitando descoberta de senhas, invasão, entre outros.

O problema afeta usuários de vários sites do mundo, inclusive grandes portais e serviços, já que a OpenSSL é usada em cerca de dois terços de todos os servidores de Internet. O bug permanece até que sites vulneráveis tomem medidas para garantir a segurança de suas comunicações. Ele pode levar ao roubo de senhas, comunicações confidenciais, número de cartão de crédito e outros dados privados.

Representantes do Google, Yahoo e Facebook disseram à Reuters que usam OpenSSL e que já tomaram medidas para mitigar quaisquer impactos para os usuários. Porém o alerta é válido para todo e qualquer site, seja ele informativo, de comércio eletrônico, bancos, entre outros.

Não há nada que os usuários possam fazer para “consertar seus computadores”. O problema está nos servidores e até que estes sites vulneráveis tomem medidas para garantir a segurança de suas comunicações, o usuário só pode contar com a sorte. Sites e empresas de que tenham certificados digitais, após a atualização/correção do problema, devem emitir novos certificados e chaves usados para a criptografia de tráfego de Internet com navegadores de Web (Firefox, Internet Explorer, Google Chrome, etc).

Além de servidores, a biblioteca também é utilizada por sistemas operacionais de SmartPhones, como o Android. Porém, a probabilidade de problemas neste caso é bem menor.

Procure trocar todas as suas senhas, mas evite mudá-las até que você tenha como ter certeza que os serviços protegidos por essas senhas não têm a vulnerabilidade Heartbleed. Uma dica é conferir no site http://filippo.io/Heartbleed/. Além disso, considere a adoção de autenticação de dois fatores (2FA) sempre que puder. Google e outros já utilizam este método.

Mais informações sobre o problema:
http://heartbleed.com/

Para verificar se o site usa a versão problemática do OpenSSL:
http://filippo.io/Heartbleed/

Para verificar se seu aparelho Android usa a versão problemática do OpenSSL:
Heartbleed Detector
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector

Se você utiliza o browser Google Chrome, pode instalar o seguinte plugin:
ChromeBleed

E se você quiser a explicação técnica em detalhes do problema, recomendo este link:
http://nakedsecurity.sophos.com/2014/04/08/anatomy-of-a-data-leak-bug-openssl-heartbleed/

Comércio Online x Ineficiência Offline – Parte 2: Website x Televendas

Continuando a série de posts falando sobre erros e acertos de empresas, listo aqui mais um caso evidente de ineficiência offline.

Algumas vezes faço pedidos em restaurantes via internet, por achar mais prático que utilizar o telefone. Eis então que hoje, quando fui efetuar um pedido para uma rede de restaurantes cariocas chamada La Mole, lembrei que eles possuem um caso interessante para listar aqui.

LaMoleCardápioNaoLogado

Aparentemente o site do restaurante é clean e rápido. Porém, já ao entrar em uma listagem dos pratos visualizamos um descuido de interface: os pratos executivos, que possuem duas opções por dia de segunda a sexta, aparecem fora de ordem. Quando o objetivo é vender, quanto mais claro e prático melhor. Começaram pecando por aí.

LaMoleCarrinhoNaoLogado

Passado este detalhe, ao adicionar o produto no carrinho de compras, clicando no botão fechar pedido, o usuário não logado é direcionado para uma página solicitando login ou registro. Até aí tudo bem, fluxo normal, porém ao efetuar o login ou se cadastrar o usuário é redirecionado para a página principal e seu pedido simplesmente sumiu.

LaMoleCarrinhoVazio

Refeito o processo de adicionar ao carrinho e clique do fechar pedido, fui informar o CEP para a entrega. Eis que recebo uma mensagem que eles não efetuam entrega no local desejado.

LaMoleCep

Todo restaurante tem sua área de entrega definida de acordo com a logística da região, não teríamos nada de anormal. Porém, ao utilizar o televendas para efetuar meu pedido, o atendente não informou impeditivo algum quanto a entrega.

Este é mais um caso de ineficiência offline pois, apesar do estabelecimento possuir seu e-commerce, várias vendas não devem ser concluídas ou por preguiça do comprador em ter que adicionar novamente um produto no carrinho, ou pela gestão logística estar com a regra de negócio furada, impossibilitando pedidos para algumas regiões que na verdade estariam cobertas.

Comércio Online x Ineficiência Offline – Parte 1: Website

O Brasil é um mercado em crescimento. Com foco total, pequenos, médios e grandes comerciantes estão aderindo ao mercado de vendas via internet, o famoso e-commerce. Além destes empreendedores que já estão em operação, a cada dia surgem centenas de novos negócios com o objetivo de comercializar produtos via internet.

Culturalmente o Brasil é um país que pouco apoia os empreendedores, desde o processo burocrático demais para a abertura até a enxurrada de leis e impostos que assolam e prejudicam a competitividade de qualquer negócio frente a players internacionais. A cultura empreendedora não é ensinada nas escolas e, como muitas pesquisas revelam, muitas empresas nascem por necessidade dos empreendedores do que por oportunidade.

Pequenos, médios e grandes negócio tem incorrido em erros operacionais constantes justamente pela falta de conhecimento. Esta semana por acaso me deparei com um deles, de um supermercado no Rio de Janeiro que possui vendas online via site e mobile. Abaixo faço uma pequena análise operacional da mesma.

A rede Zona Sul (http://www.zonasulatende.com.br/) está no mercado online já tem alguns anos. Apesar do tempo de experiência, a empresa também incorre em erros. Vamos ao estudo de caso.

A navegação nos produtos e carrinho de compras possuem uma boa usabilidade. O processo começa a apresentar furos no momento de cadastro. E é neste ponto que vou focar o primeiro artigo desta série.

Na página de cadastro, o usuário se depara com um formulário com dois campos: CPF, data de nascimento e um botão continuar. Surge então o primeiro erro: não enumerar a quantidade de passos de um cadastro é a melhor maneira de perder compradores. Pesquisas mostram que usuários tem aversão a preencher muitos dados e perder tempo com cadastros. Todo e qualquer cadastro deve possuir o mínimo de campos necessários para se concretizar o negócio e, não passar uma dimensão da quantidade de informação para o usuário é perder compradores.

Preenchimento do cadastro - Passo 1

Passando o erro de negócio inicial, no momento do preenchimento surge o primeiro descuido: o usuário pode informar data de nascimento posterior a do dia. Pressionando o continuar, o software não faz crítica alguma quanto a data de nascimento impossível e exibe o formulário do segundo passo de cadastro. Neste momento surge o terceiro erro, este novamente de negócio: campos obrigatórios com informações pouco necessárias para a concretização da venda. Para que um comprador de mercado precisa informar o sexo, estado civil? Certamente esta informação é muito útil para o marketing, porém para efetuar uma venda, desnecessária. A captação de informações para publicidade direcionada deve ser efetuada gradualmente de maneira a não interferir na venda.

Preenchimento do cadastro - Passo 2

Ainda no mesmo passo do formulário, deparamos com o quarto erro: obrigatoriedade de telefone fixo. Com a crescente facilidade de acesso de linhas celulares e serviços VoIp, muitas pessoas não mais estão adiquirindo linhas fixas convencionais. Se o usuário informar como telefone fixo o número 9388-2333 (aleatório) que seria correspondente por exemplo a uma linha de uma operadora móvel que comercializa planos fixos (Claro Fixo, TIM Fixo, entre outras), o formulário apresenta erro e o comprador neste ponto não consegue mais prosseguir. Já imaginou você segmentar suas vendas só para clientes que possuem telefone fixo? É como só vender para quem tiver fax em casa com bobina térmica.

Preenchimento do cadastro - Passo 2

Ao longo do preenchimento deste formulário, várias vezes a tela era recarregada e com isso surge o quinto erro: a senha e confirmação informadas eram apagadas do formulário.

Passando para o passo seguinte mais um descuido: posso informar entrega com intervalo superior a um ano. Imagino que operacionalmente e financeiramente este tipo de operação comercial não seja viável, mas o formulário não possui filtro algum quanto a isso e consigo concluir a compra.

Agendamento da entrega

O cadastro de teste realizado acima foi só para ilustrar os erros online. Agora vejamos o erro offline ocorrido comigo durante uma compra real.

Por algum descuido meu de digitação ou algum erro da empresa na captura dos dados, o código de segurança de meu cartão não conferiu e a operação de compra, que só teve tentativa de débito na manhã do dia da entrega foi recusada. Até este momento nada de errado. O erro foi em como o operacional tratou tal caso.

Ao invés de tentarem contato por todos os meios informados no cadastro, apenas enviaram um e-mail no momento da recusa do cartão informando que existiam inconsistências e que eu deveria entrar em contato. Qual gestor de negócio perderia uma venda assim? Acredito que nenhum. O processo básico mínimo neste tipo de situação seria ter intervalos de tempo para aguardar resposta de um canal de contato e, na falta de resposta do cliente, prosseguir para o próximo meio de contato informado, no caso o tão solicitado “telefone fixo” e, por último, o celular. Porém, ao invés disso, o operacional apenas enviou um e-mail e nada mais. A pessoa que tinha ficado em minha casa para receber as compras não sabia que as mesmas não chegariam e eu, que não estava antenado em meu e-mail no momento, não fiquei sabendo que não seria entregue meu pedido.

Resumo da situação: o Zona Sul perdeu um negócio por não ter efetuado uma ligação e um concorrente ganhou uma venda.

No estudo acima não fui detalhista e criterioso, pois o objetivo era apenas exemplificar alguns pontos de erro. Este tipo de situação ocorre com frequência em várias empresas que, devido ao vício operacional, não conseguem visualizar o processo de um outro ângulo, podendo mapear os pontos críticos e apresentar alternativas. A solução certamente envolve a contratação de um consultor externo. Só este profissional terá imparcialidade e visão global para identificar os keypoints.