Roubo de Cartões de Crédito na RPGNow

Na primeira semana de 2007 surgiram em alguns fóruns as noticias sobre o roubo dos números de cartões de crédito de compradores da RPGNow. E apesar da presença nos fóruns, a equipe da agora One Book Shelf lidou com o incidente de maneira bastante dispersa e sem um pronunciamento oficial sobre o assunto nas páginas da RPGNow e DriveThru RPG. Vou tentar traçar um histórico do aconteceu, e depois dar minha opinião sobre toda essa confusão.

Ao digitar seu nome no Google, um usuário da RPGNow encontrou um documento .txt que continha seu nome completo, endereço e o número de seu cartão de crédito, incluindo os 3 dígitos que ficam em seu verso. O documento .txt era um arquivo retirado diretamente do servidor da RPGNow, e o site no qual estava hospedado pertencia a um grupo de hackers brasileiros (é…), que havia saido do ar mas ainda estava no cache do Google desde o dia 23 de Novembro de 2006.

O documento de texto não continha os dados de todos os usuários da RPGNow, mas de cerca de 3000 consumidores que optaram salvar as informações de seu cartão de crédito no site, através de uma pequena caixa com o texto “store credit card” que pode ser marcada quando se insere os números do cartão. Essa opção esta presente em muitos sites de vendas, como na própria Amazon, e existe como uma conveniência para o cliente. No entanto espera-se que esses dados sejam armazenados criptagrafados, e não em um documento de texto no servidor…

Imediatamente o usuário criou um tópico na RPG.net sobre o problema, e logo a RPGNow foi notificada. A empresa contatou o Google para que a página dos hackers fosse removida do cache, o que foi feito nos dias seguintes. Depois o consumidor que criou o tópico foi instruído a deletá-lo, pois continha informações sobre seu cartão e o de outras pessoas também afetadas.

Outro tópico foi criado por funcionários da RPGNow na RPG.net e na ENWorld, explicando o que havia acontecido, e avisando que em breve entrariam em contato com os consumidores afetados pelo roubo. A partir daí a discussão cresceu, girando principalmente em torno da escolha feita pela RPGNow de notificar o ocorrido somente para aqueles que tiveram seus dados roubados, ao invés de mandarem e-mails para todos os usuários registrados no site ou postarem um anúncio oficial na página principal da RPGNow. Uma discussão paralela a esta ocorreu no fórum privado das editoras que vendem na RPGNow, e os mesmos pontos discutidos na RPG.net e ENWorld foram debatidos de forma bastante contundente, e pelo próprio carater do fórum logo se chegou no debate sobre a relação de responsabilidade entre a OBS e as editoras.

Todas as informações públicas sobre o roubo estavam concentradas em fóruns externos, que por maiores que sejam não representam a totalidade dos consumidores da RPGNow, e mesmo que representassem não significa que todos os acessaram durante o período crítico pós-roubo. Somente através destes fóruns era possível descobrir que apenas aqueles que salvaram as informações de cartão de crédito no site foram afetados, o que certamente ajudou a espalhar boatos e insegurança dentre os usuários do site.

O envio de e-mails somente para os afetados diretamente pelo roubo, com o objetivo de não espalhar ainda mais desconfiança e danos a imagem do site também não teve o resultado esperado. Isto porque muitos usuários se registram no site com e-mails falsos ou de spam, que são raramente consultados. Não foi surpresa quando começaram a aparecer nos tópicos sobre o tema um bando de usuários alegando não terem sido contados pela RPGNow, ainda que ao digitar seu nome no Google encontrasse a página no cache com o arquivo .txt.

Em resposta a estas mensagens e aquelas que questionavam a forma escolhida para lidar com o problema, a RPGNow afirmou que alarmar mais de 60.000 usuários por um problema que afetou menos de 5% destes iria somente criar mais pânico. Em uma das respostas no forum privado de editoras da RPGNow, foi dito que postar sobre o assunto em blogs e afins só iria piorar a situação, já que todas as medidas de segurança haviam sido tomadas e o risco de um novo roubo era inexsitente. Essa afirmação foi recebida pelas editoras como uma atitude típica de “atire no mensageiro”, onde o problema é deixado em segundo plano frente as críticas a quem o reportou… Finalmente se cogitou dos dois lados o risco da VISA e Mastercard multarem a RPGNow por sua falha de segurança, ou mesmo cancelarem o contrato que os permite aceitar pagamentos por cartões de crédito, mas até agora não existe nenhuma inormação substancial sobre isso.

Um dos pontos que mais causou insastifação dentre as editoras que vendem através da RPGNow foi o fato de não terem recebido nenhum aviso sobre o roubo dos cartões de crédito. Em alguns casos elas só ficaram sabendo do ocorrido quando receberam e-mails de consumidores que leram os tópicos nos fóruns da RPG.net e ENWorld, e obviamente não tinham conhecimento suficiente para orientar esses consumiodores de maneira apropriada. A RPGNow alega que a tarefa de lidar com as dúvidas e reclamações destes consumidores é exclusividade dela, o que é correto. Mas isto não impediu que alguns destes consumidores contatassem as editoras das quais são mais próximos, e neste momento elas deveriam ter tido acesso ao mínimo de informação para ao menos tranquilizar e direcionar estes usuários para quem estivesse cuidando do assunto.

Talvez tenha sido mais fácil encarar o problema de maneira difusa e esperar a poeira baixar. Mas acredito que o correto nesta situação teria sido colocar um anúncio oficial na página principal do site, contanto o que aconteceu, assim como quais medidas foram tomadas para impedir que este tipo de incidente não se repita. Mais importante, a RPGNow tinha sim todo dirteito de se defender das críticas colocando a culpa nos criminosos, mas não pelos danos que eles causaram a imagem da RPGNow, mas pelos transtorno causados aos compradores, pois sem eles o site não existiria. Um aviso sucinto também deveria ter sido enviado para as editoras o mais rápido o possível, indicando como proceder caso procuradas por consumidores atingidos pelo roubo ou simplesmente temerosos. E finalmente o envio de cupons de desconto para quem teve os dados roubados, assim como a criação de promoções e descontos como cortesia e pedido de desculpas pelo incoveniente, incetivariam os compradores a retornarem para o site.

Infelizmente todas essas sugestões foram feitas inúmeras vezes por diversas pessoas em todos os tópicos sobre o assunto, mas sumariamente ignoradas. Agora o que resta é esperar pelas vendas dos próximos meses e avaliar a extensão do dano que o roubo dos cartões de crédito vão causar a imagem e volume de compras da RPGNow.

Comments are closed.