Notícias

Dados bancários de brasileiros foram expostos por erro em nuvem pública

Na segunda-feira (22), o The Hack publicou o que pode ser o maior vazamento de dados relacionado a bancos do país em 2019. A vulnerabilidade foi descoberta pelo Data Grupo e comporta 250 GB em arquivos. Num primeiro momento, não foi possível contabilizar a quantidade de clientes afetados.

Foi informado que o dump inclui versões digitais de documentos pessoais como RG, CPF e CNH, mas também contratos, holerites, comprovantes de endereço e mais, como cartões de crédito.

Ao site, foi fornecida uma amostra com aproximadamente 350 MB e cerca de 400 arquivos sensíveis. Foram identificadas, até o momento, quatro empresas diferentes que atuam no ramo financeiro. Dentre elas, a mais afetada foi o Banco Pan.

A respeito deste, foram identificados, inclusive, contratos de portabilidade de outros bancos. A assessoria do banco informa que o ambiente, cuja vulnerabilidade já foi corrigida, “não é de sua propriedade”.

Os dados sigilosos poderiam resultar em crimes de falsificação ideológica ou phishing direcionado, utilizando técnicas de engenharia social. Por outro lado, “não há indícios de que tais arquivos tenham circulado pela internet“, escreve Ramon de Souza, editor-chefe do The Hack.

Crescimento em golpes financeiros

Pesquisadores da Kaspersky Lab informam que, no primeiro trimestre do ano, houveram 312.235 tentativas de ataques contra usuários únicos. Destes, 58,4% são trojans bancários do malware ‘Asacub’. Os pesquisadores detectaram uma média de 8.200 ataques a usuários por dia.

Este exemplo não faz parte do problema relatado no vazamento de dados das instituições financeiras. Neste caso citado acima, os atacantes miram o usuário final. Mas mostra, também, um foco dos atacantes em modalidades financeiras.

No caso do vazamento divulgado pelo The Hack, “uma configuração errônea” fez com que o servidor ficasse público. Assim, usuários sem autenticação podiam acessá-lo e fazer o download dos arquivos. O servidor em questão fica em um serviço de armazenamento da Amazon (S3 – Simple Storage Service) e é controlado por um correspondente bancário.

Também não foram apontados, até então, possíveis culpados pela configuração que expôs o banco de dados.

Pescaria

Em um relatório publicado em maio, a Kaspersky informa que “cerca de 90% das violações de dados corporativos na nuvem acontecem devido a técnicas de engenharia social contra funcionários da empresa-cliente e não por problemas causados pelo provedor.

O phishing e engenharia social, segundo a pesquisa, foram responsáveis por 33% dos incidentes relacionados a infraestrutura hospedada por terceiros.

Como relatado pelos pesquisadores de segurança, cerca de 37% das PMEs e 50% das empresas atualmente já usam ou planejam aumentar o uso de serviços de nuvem pública. A pesquisa, em si, foi realizada com base em 7.186 entrevistas, em 24 países e em empresas de tamanhos variados.

Servidores na nuvem são uma ótima opção para agilizar processos, melhorar a infraestrutura de TI, aumentar capacidades e afins. Por outro lado, existem riscos como estes, que podem originar ameaças ainda maiores aos clientes.

Apesar da publicação no início desta semana, o The Hack informa que “ainda está apurando a coleção completa de arquivos e notificando as outras instituições financeiras” envolvidas.

[Atualização: 24/07/2019 às 17h09]

A assessoria do Banco PAN enviou o posicionamento na íntegra sobre o caso ao IT Forum 365. Ele está disponível a seguir:

O Banco informa que o ambiente mencionado não é de sua propriedade e que, após criteriosa análise nos seus sistemas de segurança acompanhada por consultoria independente, ficou evidenciado que o servidor não é de propriedade do PAN e que não foi constatada qualquer invasão na infraestrutura do Banco.

Na atuação com parceiros comerciais são capturados dados cadastrais de potenciais clientes por tais parceiros, antes da efetiva formalização de uma operação com o Banco, que adota as medidas cabíveis caso identificado qualquer tipo de uso indevido dessas informações.

Ratifica que a segurança da informação é uma de suas prioridades, alinhada com as melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores.

Em compromisso com a sociedade, segue à disposição para colaborar com a apuração dos fatos.

Recent Posts

Tecnologia apoia a comprovação do ROI de ações ESG

A comprovação do retorno sobre o investimento (ROI) de ações ESG é um dos principais…

12 horas ago

EXCLUSIVO: Procergs migra dados para a nuvem em caráter de urgência por risco de inundação no RS

Em resposta imediata a uma catástrofe natural, a Procergs, responsável pela gestão da tecnologia da…

13 horas ago

Arquiteturas híbridas de cloud: por que o tema voltou à tona?

Os resultados da pesquisa "Antes da TI, a Estratégia 2024", apresentados durante o IT Forum…

13 horas ago

GDM e Black & Decker: casos de uso com a IA generativa

Mais da metade (69%) das empresas brasileiras dizem já ter alguma iniciativa em IA tradicional…

1 dia ago

Tecnologia como protagonista em discussões de comitês empresariais

Entre os líderes de TI brasileiros, 77% têm a perspectiva de manter ou crescer o…

1 dia ago

Infraestrutura de TI também precisa evoluir para apoiar a sustentabilidade

Durante o IT Forum Trancoso, as discussões sobre sustentabilidade estão diretamente ligadas à evolução de…

1 dia ago