Novo vazamento de dados aponta fragilidades na auditoria de fornecedores

Na segunda-feira (22), um grupo de pesquisadores independentes brasileiros revelou um vazamento que expôs 250 GB de documentos digitalizados de clientes de bancos brasileiros, incluindo dados pessoais, como RG, CPF e CNH, comprovantes de endereço, contratos, ordens de pagamento, demonstrativos, holerites, contracheques e até mesmo cartões de crédito, que estavam nas mãos de um correspondente bancário.

Segundo o Data Group, responsável por divulgar o vazamento, é difícil estimar um número específico de clientes afetados, porém, sabe-se que quatro instituições bancárias foram afetadas, sendo todas especializadas no público aposentado, pensionista, militar e servidor público. Além disso, ao que tudo indica, o vazamento aconteceu devido a uma vulnerabilidade no ambiente do correspondente bancário.

De acordo com o previsto na resolução 3.951 de 2011 do Banco Central do Brasil (BCB), os bancos não cometem nenhuma ilegalidade ao compartilhar documentos com correspondentes bancários. No entanto, o Conselho Monetário Nacional (CMN), na Resolução 4568/17, estabelece que todas as instituições financeiras do país tenham políticas de segurança cibernética, com a implementação e a manutenção de uma política formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

Isso inclui a definição de procedimentos e controles voltados à prevenção e ao tratamento dos incidentes, a serem adotados por empresas prestadoras de serviços que manuseiam dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais, que é o caso dos correspondentes bancários.

Neste caso, é difícil saber se as instituições financeiras contavam com algum programa de gestão de riscos de fornecedores e prestadoras de serviços, porém, um dos erros que levou à exposição dos dados foi o armazenamento de documentos em um bucket do Simple Storage Service (S3), serviço de armazenamento em nuvem da Amazon, configurado de forma equivocada pelo correspondente bancário – o servidor estava público, e possibilitava o acesso de usuários não autenticados, que podiam fazer download de todos os arquivos armazenados.

Histórico do setor bancário com a nuvem ainda é recente

Os bancos brasileiros são relativamente novos em computação na nuvem. A norma do CMN que autorizou o armazenamento de dados bancários na nuvem é a mesma que estabeleceu a necessidade de políticas de segurança cibernética, de 2018. Desde então, os bancos têm liberdade para armazenar dados fora do Brasil, desde que o acesso do Banco Central às informações seja garantido em contrato.

Porém, um vazamento dessa magnitude devido a um erro simples de configuração mostrou que há muito a aprender, especialmente quando o assunto é a proteção dos dados dos clientes nas mãos de prestadores de serviços.

Neste caso, qualquer hacker com essas informações seria capaz de aplicar uma série de golpes de falsificação ideológica ou phishing – a empresa provavelmente levaria meses (ou anos) até descobrir que essas informações estavam sendo usadas para fins maliciosos, uma vez que não havia identificação de usuário e nem de como cada arquivo estava sendo usado, se estava saindo do ambiente, sendo copiado ou movido.

O setor financeiro brasileiro é conhecido por estar sempre à frente quando o assunto é segurança, no entanto, casos como esses mostram que essa preocupação precisa se estender aos fornecedores, por meio de programas de gestão de riscos que incluam esses parceiros e imponham regras claras relacionadas ao gerenciamento de dados de seus clientes – isso obrigatoriamente passa por normas para o seu armazenamento e manutenção, incluindo tecnologias e procedimentos de segurança necessários para garantir que essas informações estejam sempre seguras.