Cerca de 500 mil documentos pessoais e fotos selfies de brasileiros foram comercializados em uma loja online que faturou R$ 2 milhões, de acordo com a equipe de inteligência de ameaças da empresa ITALTEL Digital Security. A empresa nota que os 500 mil documentos fazem parte de uma exposição de dados massiva que envolve a empresa de soluções de pagamentos automáticos Urpay, que ainda vazou mais de 1,6 milhão de dados de clientes.

Como a Urpay é uma empresa responsável pelas transações entre algumas lojas e bancos, ela armazena as transações de diversas instituições financeiras, como CAIXA, Nubank, Banco Inter, Itaú, Bradesco, Santander e Banco do Brasil. De acordo com a Italtel, o vazamento de dados atinge clientes de 40 bancos diferentes.

Empresa Urpay expôs dados pessoais de clientes em API pública

Fomos mais fundo na história: o TecMundo buscou um contato com a Urpay desde o dia 27 de fevereiro. Seu email de contato não ofereceu respostas. Seu número telefônico disponível no Google é 'inexistente'. O TecMundo buscou o contato com funcionários via LinkedIn e, dessa maneira, tivemos sucesso ao encontrar uma maneira de conversar com o CEO da empresa, Jose Andre da Costa, que nos enviou o seguinte posicionamento.

“Essa API em questão realmente é pública, ela é para um serviço de consultas de pagamentos pelos usuários que usavam a plataforma URPay para receber e enviar pagamentos”, escreveu Jose Costa. “Note que na busca existe uma ‘autenticação’ na URL onde a mesma é gerada em cada transação do usuário na plataforma, logo quem tem essa autenticação pode buscar de forma pública o resultado das transações que o mesmo efetivou para um terceiro por exemplo, essa consulta se faz no menu BUSCAR COMPROVANTE”.

1,6 milhão de dados

O posicionamento completo você encontra ao final da reportagem. Contudo, o assunto foi desviado: a API pode ser acessada por qualquer pessoa, com isso, estamos incluindo não-clientes, esta reportagem e, como já aconteceu, hackers criminosos.

• API é uma interface de programação que, em alguns casos, armazena informações sensíveis. Como ela está pública, qualquer pessoa sem conhecimento técnico pode acessar essas informações diretamente pela URL.

O Marco Civil da Internet já fala sobre o assunto: qualquer operação de coleta, armazenamento, guarda ou tratamento de dados pessoais exige o respeito à legislação brasileira e aos direitos à privacidade e à proteção dos dados pessoais. O Decreto 8771/2016 ainda deixa claro que a guarda e a disponibilização de dados pessoais devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.

A Lei Geral de Proteção de Dados Pessoais (LGPD) que entra em vigor em agosto deste ano, toca neste ponto de maneira pesada e, casos como este, poderão render multas de até R$ 50 milhões.

Vale notar ainda que, recentemente, a Urpay vem enfrentando problemas na Justiça ao lado da empresa Unick Forex. Supostamente, elas estariam envolvidas em um esquema de pirâmide e levantaram um montante R$ 1 bilhão com dinheiro de clientes. De acordo com o LiveCoins, a Urpay estaria respondendo mais de 100 processos movidos por consumidores de seus serviços.

Parte do vazamento

Loja criminosa já vendeu esses dados

O que já é ruim, sempre pode ficar pior. Com os dados expostos e sem qualquer tipo de suporte fornecido pela Urpay, um cibercriminoso pegou parte da exposição de dados e começou a vender em uma loja online chamada “PaiDoc Store”. Foram comercializadas cerca de 500 mil selfies e documentos (com fotos, endereço, CPF, rg, data de nascimento e informações diversas) de brasileiros.

De acordo com a Italtel, os anúncios sobre a loja online, que foram identificados no dia 19 de fevereiro, aconteceram em grupo fechado do Telegram. A loja vendia cada linha de informação vazada por valores entre R$ 20 e R$ 40, aceitando Bitcoin (BTC) como forma de pagamento.

A Italtel, por meio de sua equipe de inteligência, descobriu um grupo no Telegram que possui quase 1,6 mil membros e é conhecido por divulgar informações que envolvem técnicas de fraude além do compartilhamento de dados documentos pessoais de cidadãos brasileiros. Foi neste grupo que o site criminoso foi anunciado.

Loja criminosa

A empresa ainda afirma que o suposto vendedor dos 500 mil dados se chamaria Thiago e "possui uma rotina diária de divulgação do link da loja no grupo em questão, incluindo o compartilhamento de promoções nos processos de compra que dariam direitos e/ou benefícios aos membros que participassem ao adquirir os documentos na loja ou então ao convidar outros potenciais compradores. O exemplo mais recente desta atividade é a possibilidade de ganho de 10% do valor em dinheiro que um outro membro cadastrado, via link de convite, adicionasse à sua carteira da loja”, diz a empresa.

Infelizmente, estes documentos vazados e vendidos podem e são utilizados por cibercriminosos para abertura de contas em outros bancos, solicitações de crédito ou demais serviços online que exigem fotos do documento e uma comprovação pessoal, como a selfie. A situação não é boa: não há muito o que fazer para o cliente que foi afetado, apenas recorrer às empresas envolvidas na exposição e checar de perto a própria situação bancária. A LGPD, citada anteriormente, diz: “os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo”.

urpay

Posicionamento da Urpay sobre o caso

Segue abaixo, na íntegra, o email enviado pelo CEO da empresa ao TecMundo:

“Essa API em questão realmente é pública, ela é para um serviço de consultas de pagamentos pelos usuários que usavam a plataforma URPay para receber e enviar pagamentos.

Note que na busca existe uma "autenticação" na URL onde a mesma é gerada em cada transação do usuário na plataforma, logo quem tem essa autenticação pode buscar de forma pública o resultado das transações que o mesmo efetivou para um terceiro por exemplo, essa consulta se faz no menu BUSCAR COMPROVANTE.

Basta ele informar a äutenticacao" e pronto, ele vai saber o STATUS da transação informada. Se a mesma está pendente, cancelada, processada ou qualquer outra informação que necessite de um comprovante em específico, e por final o comprovante dessa consulta.

Então basicamente se tem alguma informação que está sendo exposta, é pode permissão do próprio usuário titular da conta que está fazendo a consulta ou alguém a quem ele recebeu ou enviou um pagamento e disponibilizou a "autenticação" para a respectiva consulta. Se alguém está vendendo esses dados eu não sei quem é mais "esperto", quem acha que pegou dados realmente "vazados" ou quem pensa que realmente está comprando dados "vazados".

Como a URPay vendeu sua carteira de clientes em Dezembro de 2019, essas APIs eram para estarem desativadas, provavelmente deve ter alguma ativa ainda, logo todas serão desativadas totalmente”.

FEBRABAN

O TecMundo conversou com a Febraban (Federação Brasileira de Bancos) que enviou o seguinte posicionamento:

"Os bancos investem cerca de R$ 2 bilhões por ano (que correspondem a cerca de 10% dos gastos totais do setor com TI) em segurança da informação para garantir tranquilidade e segurança a seus clientes e colaboradores e seguem a legislação em relação ao sigilo e normas de segurança estabelecidas para o setor bancário. No entanto, esses esforços só garantem a segurança para realização de operações dentro dos ambientes criados e geridos pelas instituições financeiras. As instituições financeiras não tem controle quando as informações são repassadas por terceiros.

É procedimento padrão de segurança dos bancos contratar empresas especializadas para monitorar possíveis casos de vazamento de dados de clientes.

Quando os vazamentos ocorrem, as instituições financeiras geralmente recebem alertas que são enviados pelas empresas contratadas e adotam procedimentos adicionais de segurança para minimizar os riscos para os clientes.

Em casos comprovados de vazamento de dados na instituição decorrentes de ataques cibernéticos, os bancos devem comunicar o Banco Central (BC), respeitando a Resolução 4.658 do BC".

Bancos envolvidos foram contatados, em breve, atualizaremos com o posicionamento

Banco do Brasil

“O Banco do Brasil esclarece que não há registro de invasão aos seus sistemas no período informado e que as informações apontadas não foram extraídas de sua base de dados. Não há previsão de ação para comunicação do assunto aos clientes por parte do BB. O Banco ressalta que conta com políticas e sistemas de segurança de informação e prevenção a fraudes, e que realiza monitoramento constante para prevenir esse tipo de evento”.