ALERTA: Cartões e site do Continente vulneráveis…
…a ataques
Todos nós conhecemos os populares cartões do Continente que armazenam pontos, que se “transformam” em dinheiro e que posteriormente podemos descontar nas nossas compras.
Segundo informações divulgadas no serviço Pastebin, a equipa Team n00bz diz que tanto os cartões como o próprio site do Continente estão vulneráveis a ataques.
EAN13
- O continente usa para os seus cartões um sistema de 13 dígitos e respectivo código de barras semelhante ao usado na maioria dos produtos. Os produtos usam os 2 ou 3 primeiros dígitos para identificarem o pais, o continente usa o 185, que não é utilizado por qualquer país. O sistema EAN13 usa 12 dígitos para identificação e um 13º digito de checksum (ver aqui). O formato típico dum Cartão Continente é 185XXXXXXXXXC. É possível imprimir um código de barras funcional a partir do número de várias maneiras, quer com software especializado, quer online (exemplo: aqui ou aqui)
TALÃO CONTINENTE
- O talão emitido na caixa, numa operação em que o cartão seja apresentado, divulga o seu número permitindo a sua cópia imediata. O talão divulga também o total já ganho com o cartão, o que permite prever se um cartão tem ou não saldo.
GERAÇÃO DE NÚMEROS
- Como o algoritmo que calcula o último dígito é conhecido, é possível gerar uma lista de cartões válidos de 1850000000017 a 1859999999999.
VULNERABILIDADES NO SITE
Segundo informação da equipa equipa Team n00bz, criando uma conta no site do continente aqui, apenas com um e-mail válido, é possível explorar a lista criada anteriormente de duas maneiras, que podem ser usadas em conjunto ou não:
1) Ataque ao Estado do Cartão
- Ao tentar associar um cartão à conta criada anteriormente é possível saber se o cartão se encontra ativo ou não. Visto não haver limite no número de tentativas, é possível testar números ilimitados e saber se os respectivos cartões estão activos ou não.
2) Ataque ao Número do Documento
- Depois de introduzido um número de cartão activo são pedidos dois dígitos do documento de identificação. Ao falhar um dos dígitos são pedidos dois dígitos diferentes. Ou não: o site não força este mecanismo de segurança, sendo possível atacar as mesmas duas posições e acertar nos dígitos num máximo de 100 tentativas (se o documento utilizado não for o passaporte, que também permite letras). Isto permite ter acesso total ao cartão, nomeadamente ao nome completo, morada, numero de documento de identificação, tele móvel, saldo atual, estados dos rebates nos cartões e total ganho com o cartão
UTILIZAÇÃO
- Sabendo o número de um cartão activo com saldo positivo, quer através de um talão esquecido quer através dos métodos explicados anteriormente, é possível criar o respectivo código de barras, imprimir e utilizar numa qualquer caixa "self-service" sem qualquer tipo de verificação
FACTO
1) Clientes afectados
- Todos !
- Em alguns dias foi possível obter a informação detalhada de milhares de utilizadores do cartão continente bem como os respectivos saldos. Este número poderia ter sido brutalmente superior pois não foi detectado qualquer imposição no limite de pedidos por parte do servidor do continente.
2) Tranches
- Foi possível presumir que o continente reserva tranches (ou gamas) de números para os diversos hiper-mercados espalhados por Portugal, tendo sido obtido dados de clientes de uma certa zona em largas vagas de números (1850204****** - Guarda). Isto quer dizer que a atribuição de um novo número não é sequencial no seu todo mas sim dentro de uma determinada tranche, sendo possível o número 1850204****** estar atribuído e o 185000001**** não.
Toda a informação está disponível publicamente no Pastebin, incluindo um vídeo que apresenta um ataque.
A equipa fez saber que tentou por duas vezes contactar o Continente mas sem sucesso. Caso a situação não esteja resolvida, avançam com a divulgação do source code do exploit a 26 de Fevereiro.
Este artigo tem mais de um ano
BRUTAL!!!!
hackers moralistas?!?
só os que conhecem os hackers através dos media e/ou filmes não sabem que “hackers moralistas” também existem e quase que em maioria.
Existem 3 tipos de hackers (até já a mais):
– Os hackers White hat: os que hackam pelo bem, (os moralistas no caso).
– Os hackers Grey hat: os que hackam por diversão, nem para o bem nem para o mal.
– e Os hackers black hat: que são os que hackam para o mal, também podem ser designados crackers.
A imagem que a mídia nos passa é que todos os hackers são chapéu preto, maldosos ou crackers.
who cares, la quero saber como se chamam lol
para mim só há 2 tipos, os que hackeiam para se divertir e os que hackeiam porque nao têm mais nada que fazer a vida e gostam de lixar a dos outros.
Mas o pior tipo é precisamente esse que excluis: os que hackeiam para maldade (roubar cartões de crédito, passwords, documentos importantes, etc).
a tua afirmação faz de ti um ignorante na matéria
Os hackers são hackers porque são curiosos, porque gostam de mostrar as suas capacidades, enquanto há pessoas que gostam de mostrar as suas capacidades deitando abaixo os outros e dizendo mal como tu, um representante do que vai mal neste país, isso que tu dizes é tudo relativo, deixa-te de histórias da carochinha que já não convencem ninguém.
aiaiai Diogo…
o facto de nem saberes escrever, explica as imbecilidades que escreves. aposto que não tens mais de 12 anos
Muito bem explicado…(claps)
O saber não faz mal a ninguém, e os White Hats são uma mais valia para todos os utilizadores da sociedade actual.
Um pouco mais de respeito…
Vou tentar traduzir o comentário acima:
Existem 3 tipos de ladrões (até já há mais):
– Os ladrões de chapéu branco, os que assaltam pelo bem (os moralistas);
– Os ladrões de chapéu cinzento, os que roubam por diversão, nem para o bem nem para o mal.
– e os ladrões de chapéu preto que são os que roubam para o mal, também podem ser designados por ladrões de pé-de-cabra.
A imagem que a mídia nos passa é que todos os ladrões usam chapéu preto são maldosos ou arrombam portas com pé-de-cabra.
Em qual grupo estás?
E há os que usam chapeu de cor de rosa… mas esses é outro tipo de backdoor. Andam a ver muitos filmes.
Sim… Os contactos visarem o puro altruísmo ditado pelo moralismo e não tentativa de chantagem. Daí terem sido ignorados.
Em qualquer grupo de pessoas existem pessoas boas, más e assim assim.
Médicos, existem emprenhados, desleixados e FDP.
Professores, igual.
Porque os hackers haviam de ser diferente? Alguns dedicam-se a descobrir vulnerabilidades para as comunicar às entidades que as podem corrigir, apenas por prazer. Outros, um pouco mais espertos, fazem o mesmo, mas a troco de dinheiro – digamos que são prestadores de serviços. Outros há que o fazem com o único objecto de extorquir dinheiro às suas vítimas.
Há de tudo, como na farmácia!
Sergio, faça um favor a todos nós! Consulte a verdadeira definição de Hacker. E depois faça (ou refaça) a pergunta novamente!
Happy Easter
Muito grave este grupo nem ouvir quem os quer ajudar…
Já estou a ver o próximo anúncio do Pingo Doce “Sem ataques a cartões, nem complicações..”
essa foi engraçada 😀
LOL. Esta está boa! xD
Fizeste me mesmo rir xD
Já me animaste o fim de semana xD
Hahah essa está boa xD
seria ataque da concorrencia?
Bom trabalho, serviço publico.
boa essa: “Sem ataques a cartões, nem complicações..”
Eu já tinha visto o esquema, mas dai a publicarem o seu funcionamento num site que aspirantes a informáticos é como quem diz a alguém, está aqui ouro num cofre e para o abrires só tens de fazer isto.
Notícia poderia ter outra forma de ser apresentada sem motivar ao “roubo”.
Essa foi engraçada, um site a aspirantes a informáticos, se formos a ver bem, talvez seja mais os informáticos que os aspirantes. Anyway, é um blog informativo, logo informaram e bem.
Se a notícia estivesse incompleta queixavam-se, como está completa queixam-se na mesma. Em todo caso não me parece que as pessoas que lerem esta notícia vão tentar alguma coisa, até porque os serviços estão já em baixo..
Se achas que foi divulgada informação a mais, tenta tu, fazer o mesmo ataque ao Continente.
Meu caro amigo, a informação disponibilizada é só uma pequena franja do que é necessário para lá chegar. O source code que ainda não foi divulgado é que é o elemento fundamental para o ataque e só será divulgado se a entidade responsável pela manutenção e gestão de cartões não efectuar as devidas correcções.
O que é dito neste sitio (sites), é o caminho normal. Apesar de serem revelas outras fragilidades que normalmente não estão presentes em sítios( sites) os quais, “por norma”, até costumam ser explorados para a procura de erros.
Aqui é logo no registo!!!
Os aspirantes a informáticos, tal como você refere vão continua-lo a ser, caso não tenham o tal source code do exploit(que dá muito trabalho e é preciso saber muito) e o meu amigo vai continuar a mandar bitaques para o ar sem saber o que diz!!!!
Ainda bem que o pplware ou outros site sério divulgam este tipo de casos, pois de uma forma sistemática, alguns grupos detectam vulnerabilidades em sites, passam a informação e são pura e simplesmente ignorados.
Á que dar a mão à palmatória e resolver as situações, mas nestes casos as empresas, como medo de perder o cliente ao revelar que o trabalho não está todo bem – o que é fácil de acontecer, estamos a falar de programação que tem sempre falhas- preferem fazer orelhas mocas para ver se tudo passa despercebido. Espero que este não seja mais um caso!!!!
Como nota, a explicação que aqui está é mais do que suficiente para qualquer pessoa que trabalhe no mesmo ramo que eu consiga deduzir de imediato o código a utilizar para se aproveitar desta vulnerabilidade.
Felizmente neste mundo ainda há muita pessoa de boa moral!
Pela tua lógica vez um filme onde possa acontecer um crime e sais por aí a matar.
Vai tentar fazer, aspirante 🙂
O que tu fazes com a tua idade já nos faziamos com 15 anos de antecedencia. É explorando e passando a informação que as coisas vão sendo protegidas.
Se nem o Continente se interessou até agora, com esta publicação aposto que vão prestar atenção.
Desculpa??? ninguém ta a motivar nada, estão apenas a informar que um dos grupos que mais lucro tem em portugal está-se nas tintas prá privacidade dos clientes. E esta não é a primeira vez… E aspirante a informático só se fores tu…
Temos informático! Seja lá o que isso for!
Gostei dessa “dos aspirantes a informáticos”.
Aposto que tu és mesmo informático. Pera, se estás aqui é porque também és aspirante…
Como já alguém disse aqui, este é um site de informação e aparecem aqui todo o tipo de pessoas para ler as notícias: aspirantes a informáticos, apaixonados por tecnologias e informáticos. De entre os informáticos, existem os sabem o básico para informático e pessoas que, muito antes de seres projecto de gente, já brincavam com computadores.
E como conhecedor que és de informática, saberás que quem quer aprender o básico de ataques, apenas tem que perder tempo na internet. o Pplware é um mau local para essa apredizagens.
Há uns que aspiram nem sabem bem a quê. Ficam pelo aspirar. Cuidado é que há certas aspirações que causam dependência.
Estou a ver o continente cheio de nerds a fazerem compras ahahhah
Ou seja, nem é preciso ser um grande hacker para se usar este esquema.
Basta para isso usar um programa para fazer o código de barras e pronto. Já tive uma aplicação no telemóvel para guardar os meus cartões, por exemplo.
A questão é que é simples fazer isto mas também é simples ser apanhado, ou seja, acredito que no sistema ficará o “rasto” do cartão, em caso de uso indevido pode-se perceber onde o dinheiro do cartão foi gasto e os supermercados há uns anos que não poupam em câmaras de vigilância.
O maior problema aqui nao é o uso indevido do cartao em supermercados. O Maior problema tem a ver com a informação ” nome completo, morada, numero de documento de identificação, tele móvel”. Esta informação pode posteriormente ser usada para outros ataques ou por burlões experientes para actividades nefárias.
Sim, isso é verdade mas essa informação “sensível” muitas vezes até somos nós que a entregamos de borla (redes sociais, dados de navegação, etc.).
O pior talvez seja o Doc. de Identificação mas mesmo esse muitas vezes é disponibilizado por outros meios, um dia com uma simples pesquisa no Google encontrei um amigo que já não via há anos, uma Universidade tinha a lista de entrada de todos os alunos e lá estava ele, identificado até com o nº do BI, mas isso pode-se ir buscar a milhares de coisas, assina-se uma daquelas petições online e muitas delas até identificam o assinante pelo BI, ou então sabemos o nome de alguém e vamos ver se ele entrou na Univ, etc.
A questão com essas informações é que quem nos quiser fazer mal tem que nos pesquisar para isso e mesmo assim nem é preciso, basta conhecer-nos minimamente para alguém nos seguir até casa e fazer-nos mal. Parece-me que a questão do código de barras é mais simples, não precisamos de conhecer ou fazer mal a alguém, se tiver-mos um valor “jeitoso” no cartão é só copiar o código, imprimir as barras e pronto lá vão eles às compras todos contentes:p
Não é bem assim, mas em teoria bem investigado consegues hackear qq coisa que dependa de cód de barras, é claro!
Isto quer dizer que tanto posso ganhar descontos para alguem assim como usar o valor do saldo do cartão para mim?
basicamnte podes fazer algumas compras com o saldo de outra pessoa. Por isso é que dá jeito fazer isso com cartões que tenham um bom saldo.
eu conto com o continente LOL
You just won 🙂
Será só o site dos pontos???
Eu já tive poroblema com o continente on-line .
Não percebo nada da poda.
Mas, Três questões.
1ª Quem já estiver registado no site está sujeito ao ataque?
2º O cartão cliente tem um principal, este cartão é que está associado a uma “conta”, mesmo no caso de exploração aleatória este é sempre um factor de probabilidade, e não de todos os cartôes?
3º Efectivamente a cópia de cartões é posível mas se os talões não estivem disponíveis no lixo, também é uma questão de probabilidades, eu tenho activos 2 cartões, sendo que associados já tenho 7 ou 8.
A minha conclusão:
Fazer registo no site.
Destruir os cartões de caixa.
O continente tem problema que é:
Um empregado pode ser aliciado a facultar informação sobre cartões activos.
O caso das clonagens de cartões MB, aconteceram com operadoes de caixa. A ocasião faz o ladrão.
Explicação no pastebin: http://pastebin.com/uxbFU3HA
Diz o continente que já apresentou queixa-crime contra os indivíduos que publicaram isso… OMG mas será que não se inteiram? Vão os marmelos ajudar e eles reagem assim. Há cada uma que até parece duas…
Diz onde?
Onde viste isso?
Eu não sabia que ajudar tinha a definição de chantagem:
1. crime que consiste em extorquir dinheiro, uma assinatura ou um documento, ou ainda obter uma situação vantajosa sob a ameaça de revelações comprometedoras, reais ou fictícias
2. meio de pressão utilizado para obter algo de alguém.
“A equipa fez saber que tentou por duas vezes contactar o Continente mas sem sucesso. Caso a situação não esteja resolvida, avançam com a divulgação do source code do exploit a 26 de Fevereiro.”
Tentaram obter o quê? Segurança? Zelo pelos dados que todos lá deixamos quando nos incutem os cartões e outras complicações?
Que se dêem por contentes se isto não avançar mais, pois acho isto muito mais grave do que se quer fazer parecer…
E eu não vi que apresentaram queixa em lado nenhum, foi-me respondido por uma empregada quando lhe pedi satisfações.
Ora Bolas….. Isto não é novidade alguma… Qualquer pessoa que já tivesse olhado para o seu cartão e talão saberia que vinha mencionado o numero do mesmo no talao. Não é preciso ter grande conhecimento para gerar um codigo barras e calcular o bit control… Apanhando kk um talao perdido,esquecido,abandonado seria facil fazer o codigo barras, podendo usar o remaining cash on it. Pena terem divulgado, vejamos se será alterado ou se somente a segurança do site renovada…. 😉
oh my! lol
Há umas semanas também enviei uma mensagem a avisar de uma falha e os admins nem resolveram nem responderam (não é do continente)… O pessoal brinca com a segurança…
Cambada de trengos!!
Há uns anos perdi o meu cartão em casa. (só tinha uma das chaves pequenas)
Resultado: Fiz um código de barras com o código que vinha no talão e continuei a usar como se nada fosse nas caixas self service.
Conseguia adicionar e consumir saldo sem qualquer tipo de limitação.
Por isso se apanharmos um talão daquelas pessoas que diz assim. Tem 300€ no seu cartão.
Temos a vida feita ;D
Desculpem lá mas já não tou a perceber nada disto…
Há um artigo exactamente igual a este aqui http://postasdepescada.com/2013/02/alerta-cartoes-site-continente-vulneraveis/
Sim, é verdade, desta vez não é por piratas informáticos mas por piratas da informação. Podiam ao menos referir a origem (pplware) da informação , quando fizeram copy/paste daqui. Em todo o caso se com dois artigos não percebes … nada mais te podemos explicar…
“(…)quando fizeram copy/paste daqui. Em todo o caso se com dois artigos não percebes … nada mais te podemos explicar…”
Essa deveria ir para o “E Porque Hoje é Sexta…” Se não se percebe o que se lê num artigo o melhor é tirar várias cópias. A leitura do x cópias é porporcional a y compreensão…
Uma sofisticação em relação a “lê outra vez (o mesmo)” 🙂
Bom dia a todos,
Bem a empresa bizdirect, empresa responsável pelo código do site está tramada!!!
😛
Sabendo eu que são poucos os sites neste pais que se preocupam realmente com a segurança (ou que tenham pessoas com conhecimento suficiente já que a grande maioria pensa que mete HTTPS e já está), qualquer entidade que não seja pública ou bancária, jamais terá alguma informação pessoal minha que não a estritamente necessária.
Se acham que esta é uma falha de segurança grave, posso já dizer que após ler esta noticia fui ao site e em 5 minutos consegui, do meu tablet e através de uma pesquisa de produto, causar uma excepção no Website e ficar com a certeza que sofre de falhas gravíssimas de SQL-injection. Mais grave é esta falha que sem ter de andar para aqui a calcular números de cartão, consegue-se extrair a informação directamente da BD…
Sabes ao menos o que é sql injection?
Isso é tanga pegada.
Este foi chutado do site e nem se apercebeu,ficou a pensar q o sql injection funcionou.
Se sei o que é SQL Injection? Epa, se calhar até sei já que é neste ramo que trabalho, mas pronto, devo estar a sonhar.
Obviamente não vou meter aqui algumas das queries no entanto, e por curiosidade, fiz pequeníssimas experiências nos sites de outros supers e, de entre todos e numa 1ª vista muito básica, apenas o do Jumbo não aparenta conter falhas mais directas. Tanto o site do Continente e Minipreço emitiram de imediato excepções enquanto o do Pingo Doce fica a moer indefinidamente. Aparentemente ainda há por ai muita boa gente que continua a fazer string formats/replace/concatenate para construir queries ao invés de utilizar frameworks dedicadas para acesso a BDs e que removem muitos destes básicos problemas…
https://lh5.googleusercontent.com/g62fONz9J13VISS7UwJqbCrn808n4WN6nyRE8_oMFaiVH7IfDynOlpbdInS7skpxbofMlt-zAvqz9t1T
Mas enfim, devo estar a mandar tanga ou a ser “kicked” e nem me apercebo…
Ups, ali o link não funciona.
https://www.dropbox.com/s/n32hthm7u2m8ofn/SQL_Inj_test.png
Este foi chutado do site e nem se apercebeu,ficou a pensar q o sql injection funcionou.
Ignorante. Nem sequer no site certo estás. Isto é sobre o cartaocontinente.pt e nao sobre o continente.pt .
Ou seja, a tua lógica é que o site onde efectivamente podes fazer as compras com o cartão não interessa, é isso? Yep, acho que realmente sou ignorante por tentar demonstrar factos a pessoas que demonstram total desconhecimento na matéria.
Bem, se calhar fiz mal. Devia ter colocado isto num qualquer fórum com o nome de um qualquer grupo de “hackers” (ouvi dizer que ser Anonymous está na moda) e certamente que a informação já seria completamente credível.
Já agora, o ecrã de registo de nova conta no site http://www.cartaocontinente.pt sofre do mesmo problema. Vais dizer o quê agora, que isto é apenas sobre falhas nos cartões e chamar-me ignorante novamente?
Melhor que SQL injection é agora a nova técnica SQL pill. Doi menos e o resultado é tão bom ou melhor.
Tu deves ser o orgulho dos teus pais. Fizeste tudo o que dizia no tutorial? Óptimo, passa agora para aquele que é para maiores de 15 anos e explica como evitar bater com os costados na cadeia por fazer tutoriais sem ter cuidados.
Sim, sei que tiveste o cuidado, já que esse é o teu trabalho. Mete ai o teu CV 🙂
Pois… acho q é o site q funciona mal, não é sql injection.
Esta negligência na protecção dos nossos dados por parte do Continente é muito grave. Penso que cada um de nós, possuidor de cartão continente, deverá enviar um email a pedir satisfação e uma comunicação pública indicando que medidas pretendem tomar para evitar ataques de força bruta deste tipo e como pretendem daqui em diante proteger os consumidores de um uso indevido do seu cartão cliente.
O simples facto de ser possível obter dados pessoais de uma dada pessoa (BI, morada, telefone, etc) é uma violação clara à obrigação do continente de proteger os nossos dados pessoais. Este tipo de informação permite explorar outros vectores de ataques que podem ter consequências bastante graves (burlas, usurpação de identidade, etc). Portanto, toca a enviarem um email ao continente a pedir satisfações. Eu já o fiz.
Nem mais…
Infelizmente é tudo assim, ninguém é resposabilizado por isso (tipo nos states já estavam os advogados a pedir valores altissimos porque tinha os seus dados pessoais ‘publicados’). Se formos a ver em quase todas as cadeias de lojas, por exemplo, pedem os teus dados, nome, morada, etc. e não te dizem para onde vão esses dados, no caso de pósvenda até alguns dados são ‘importantes’ para o assunto porém não ficam só associados ao pósvenda…
Enfim, era bom que estes ‘maneis’ andem em cima destes ‘cartões’ e já agora procurem lá em site das outras ‘grandes’ nacionais, pelo que já me pude apreceber alguns componentes não são actualizados à ANOS o que os deixa com mais furos que uma rede de pesca!
Site novamente disponível, portanto falha detectada já deve de ter sido corrigida:
https://www.cartaocontinente.pt
Isto é o que dá quando pessoas que não percebem rigorosamente nada de segurança tentam fazer sistemas seguros: cometem erros básicos.
erro básico: usar uma gama pequena de números
erro básico: usar códigos de barras fáceis de ler e reproduzir.
erro básico: imprimir o número do cartão no talão
erro básico: permitir a utilização do número do cartão para fazer login no site
erro básico: não limitar o número de tentativas de se acertar os dados do documento de controlo.
erro já não tão básico: não limitar o número de tentativas de se acertar o número do cartão.
O engraçado é que já há uma data de anos que se sabe que os códigos de barras podem ser muitas coisas, mas seguros não é uma delas, aliás, um ataque bem conhecido consiste em trocar a etiqueta do códigos de barras dum produto caro pelo dum produto barato mas aparentemente igual, por exemplo trocar a etiqueta do iogurte activia xpto pelo da marca branca, ou trocar as etiquetas de livros ou cds.
E vêm estes tipos e ainda conseguem fazer pior.
Há imenso tempo que se sabe que o numero do cartão continente vem nos talões, basta apanhar um talão no lixo para se ter um número válido e saber o saldo do cartão em questão. Não é preciso ser grande hacker para chegar a esta conclusão…!
Agora usar o cartão é outra coisa… as operadoras quer das caixas quer as que vigiam o self-service não passam nada no POS que não seja um cartão real.
Quanto á segurança do site neste momento parece-me corrigida. Tentei associar um cartão e o mesmo só é possível após um contacto da operadora.
Os hackers tiraram a semana para andar a atacar o mundo?
http://www.jornaldenegocios.pt/empresas/media/detalhe/hackers_chineses_atacam_o_new_york_times.html
http://expresso.sapo.pt/twitter-tambem-foi-alvo-de-ataques-informaticos=f784260
Afinal foram os militares chineses e não n00bzzzz
Também usaram os proxies da universidade americana? 😛
Conclusão: Não acumular guito no cartão. Estoura-lo todo sempre que possível! 😀
Ainda no outro dia estava à espera na caixa e ouvi a sra da caixa a falar com o cliente que estava a ser atendido antes de mim “tem 500€ no cartão, quer descontar? Não obrigado”…
Novo link no pastebin após o original ter sido removido: http://pastebin.com/EccKfSwa
Boa tarde, aconteceu-me a uma semana terem utilizado o cartão do contiente, após uma semana de ter pedido 1 novo… Há quem continue a fazer isto. Na loja dizem que é impossível tal coisa acontecer…
Alguem sabe se há desenvolvimentos da sonae sobre isto?
Quero este cartao para compras
Não faça isso, use-o só para vendas.
Quando e que podem emviar este cartao