Nesta segunda-feira (22), o portal The Hack noticiou um suposto vazamento de documentos dos usuários em bancos brasileiros. A falha foi descoberta pelo Data Grupo, e segundo seus pesquisadores, são aproximadamente 250 GB de dados.
O arquivo possui versões digitais de documentos pessoais (RG, CPF, CNH), comprovantes de endereço, contratos, ordens de pagamento, demonstrativos, holerites, contracheques e cartões de crédito dos clientes.
Não é possível especificar o número exato de clientes afetados. Mas já se sabe que o perfil dos correntistas é aposentado, pensionista, militar e servidor público, de acordo com o apurado pelo jornal.
Características financeiras de cada usuário, como renda mensal (salário ou auxílio) e movimentações bancárias, assim como extratos gerados em páginas de internet banking, estão disponíveis. Com essas informações, um criminoso cibernético pode elaborar golpes de falsificação ideológica ou phishing direcionado.
A notícia é preocupante, mas de acordo com o jornalista responsável, os arquivos já não estão mais disponíveis para download e não há indícios de que os dados tenham sido distribuídos pela internet.
A The Hack identificou que a irregularidade afetou quatro empresas do ramo financeiro. Mas limitou-se a dizer apenas a especialização delas (público aposentado, pensionista, militar e servidor público) e não citou outros nomes além do Banco Pan.
Banco Pan
O jornal identificou diversos contratos de portabilidade de outros bancos para o Pan e constatou que a maior parte dos documentos vazados pertence ao antigo PanAmericano.
A empresa fez um comunicado afirmando que o servidor em questão pertence a um parceiro comercial, embora não tenha especificado o nome.
“Na atuação com parceiros comerciais são capturados dados cadastrais de potenciais clientes por tais parceiros, antes da efetiva formalização de uma operação com o Banco (…) O problema está no fato desses correspondentes adotarem ou não as melhores práticas de segurança cibernética para garantir a proteção desses dados sensíveis”.
Como se proteger?
O Olhar Digital entrou em contato com a Flipside, empresa fornecedora de treinamentos de conscientização de cibersegurança, para entender como ataques desse tipo podem ser evitados.
Segundo o pesquisador de segurança da informação, Boot Santos, para que falhas como essa não aconteçam, uma simples conferência de dados é suficiente. As informações confidenciais deveriam ser tratadas como “não público” em um alerta que disponibiliza a opção “ligado” ou “desligado”.
O pesquisador orienta: com uma simples verificação no Google é possível descobrir se alguns dados pessoais estão disponíveis na Internet. Outras opções são métodos que verificam utilização de nomes e senhas como o Pass Protect, um plug-in conectado ao Google Chrome que monitora seus e-mails e informa se houve algum vazamento de senha.
“Qualquer empresa séria preza por proteger seus usuários, então se você encontrar seus dados em algum lugar que não deveria, você pode exigir que a empresa retire essa informação. Esses dados são sensíveis e podem ser utilizados para alguma prática ilegal”.
Fonte: The Hack
Tags: