O Banco Inter sofreu uma tentativa de extorsão durante as últimas semanas. Caso o banco não pagasse, dados pessoais de clientes seriam enviados para a imprensa e vendidos na internet. Foi o que aconteceu: dados pessoais de milhares de clientes, funcionários e executivos do Banco Inter, um dos maiores bancos totalmente digitais do Brasil, foram colocados em um arquivo criptografado de 40 GB. Por lá, são encontradas fotos de cheques, documentos, transações, emails, informações pessoais, chaves de segurança e senhas de cerca de 100 mil pessoas.

O hacker exigiu uma quantia não revelada para pagamento e alertou que, se em 15 dias não obtivesse uma resposta, revelaria o caso para o público

Na terça-feira passada (24), o TecMundo recebeu um manifesto de 18 páginas assinado pelo hacker "John" que detalha de maneira técnica como teve acesso aos dados e quais foram as suas motivações. Além disso, ele também detalha como funcionou uma extorsão ao Banco Inter, com prazos e dinheiro envolvido para o caso ser "deixado de lado" e resolvido internamente. De acordo com John, o pagamento não foi realizado.

Atualização às 16h00: o TecMundo afirma que realizou ligações para os números encontrados nos arquivos de clientes do banco para confirmação da veracidade das contas. Todas as ligações realizadas foram gravadas e os clientes confirmaram os dados vazados:

Usuária do Twitter cobrando o banco

Matéria original abaixo

O TecMundo encontrou 81,609 mil nomes vazados, enquanto o hacker afirma serem mais de 300 mil nomes envolvidos, o que incluiria todos os clientes do banco — muitos documentos dentro do arquivo de 40 GB estavam protegidos por senhas, não sendo possível a confirmação das outras milhares de contas alegadas.

O Banco Inter, que também recebeu o arquivo de 40 GB, negou uma invasão e comentou: "O Banco Inter segue as regulamentações de segurança aplicáveis à natureza do serviço prestado, estando em conformidade com as boas práticas no que se refere à proteção dos dados pessoais de seus clientes. Nesse sentido, busca constantemente o aperfeiçoamento de sua segurança digital. Inclusive, é pioneiro na migração de dados para computação em nuvem junto ao seu parceiro Amazon Web Services"

Segundo o hacker, o sistema bancário brasileiro não está completamente preparado para a migração massiva para a nuvem, e este tipo de brecha seria uma prova dessa afirmação:

"Estamos quase às vésperas da decisão do grupo de trabalho que definirá as regras e sob quais condições e limites os bancos poderão adotar Cloud Computing em larga escala. Enquanto isso, as FINTECHs se antecipam e nadam de braçada nessa seara, sem esperar a decisão final, e de certa forma pressionando por uma decisão em favor da adoção ampla e pouco restrita da nuvem. Nesse estudo de caso, abordaremos o Banco Inter (antes Banco Intermedium) que por sua vez também está às vesperas de um lançamento de oferta pública inicial (IPO no inglês) na bolsa de valores. Buscando ser um unicórnio FINTECH de fato. Mas estamos prontos para esse salto?", pergunta o hacker antes de detalhar a invasão.

Nome, nome da mãe, número do documento, renda mensal e resposta de segurança de uma das contas vazadas ao TecMundo

Como enviar uma denúncia ao TecMundo: denuncia@tecmundo.com.br ou felipepayao@protonmail.com

No manifesto, John deixa claro que fez contato com o Banco Inter para a correção do problema. Contudo, exigiu uma quantia não revelada para pagamento e alertou que, se em 15 dias não obtivesse uma resposta, revelaria o caso para o público. Neste momento, o banco agiu de maneira correta: como acontece com os ransomwares, a indicação é que PCs sequestrados e extorsões não sejam pagas por pessoas físicas e empresas.

Dos 40 GB enviados ao TecMundo, cerca de 30 GB são dados pessoais dos correntistas do banco Inter

Na segunda-feira passada (30), já foram encontradas supostas indicações da venda dos dados vazados em sites específicos. Um grupo identificado como 'John Carter', de provável ligação com o hacker que enviou os dados ao TecMundo, está vendendo as informações completas e de maneira exclusiva por 10 bitcoins (BTC 10). Neste momento, a unidade do Bitcoin está custando R$ 33 mil: então, os 40 GB podem ser adquiridos por cerca de R$ 330 mil. As informações podem ser encontradas em chans da rede Onion.

Primeiro contato do hacker enviando os 40 GB de dados

Antes de detalhar o que pode ser encontrado no arquivo de 40 GB, o hacker deixa a seguinte mensagem: "Estamos diante de um dos maiores problemas de segurança que um banco pode sofrer, e um dos problemas de maior escala já vistos na história recente dos sistemas bancários brasileiros. Problema grande suficiente para comprometer não só o rating do banco Inter frente ao Banco Central, mas comprometer o rating de todos os bancos digitais, ou bancos clássicos que planejem adotar soluções de cloud computing em grande escala. E claro, potencialmente, afetar o resultado e as recomendações do Banco Central e do working group da Febraban para indicar até que ponto um banco ou uma fintech deve usar recursos de cloud".

Parte do vazamento

O que vazou?

Dos 40 GB enviados ao TecMundo, cerca de 30 GB supostamente são dados pessoais dos correntistas do Banco Inter. Por dados pessoais, neste caso, estamos falando de informações pessoais completas, com ficha cadastral, comprovantes, senhas de cartão descriptografadas (antigas e novas, registro de troca de senha), número de cartão e até mesmo CVV e data de expiração/validade dos cartões — com as informações bancárias, em específico, presentes em uma segunda lista, como você vê nas imagens.

Abaixo, você acompanha os tópicos que elencam todas as supostas informações expostas de clientes do Banco Inter — informações na íntegra, como no manifesto recebido

Dados cadastrais, incluindo código de segurança e senha , de todos os quase 400.000 clientes e correntistas do Banco Inter ( o TecMundo encontrou 81 mil)

, de todos os quase 400.000 clientes e correntistas do Banco Inter ( Base de cadastro Mastercard com cadastro completo, incluindo e-mails, telefones, endereço, nome do pai, nome da mãe, documentos, telefone fixo e celular

Senha dos cartões Mastercard, usados para débito, crédito , para segundo fator de autenticação de transações como pagamentos de TED e pagamento de boletos

, para segundo fator de autenticação de transações como pagamentos de TED e pagamento de boletos Fluxo de troca de senha do cartão Mastercard , incluindo senha antiga e senha nova, de todos os clientes, coletado por mais de um mês — "e que ainda está sendo coletado nesse momento", adiciona o hacker

, incluindo senha antiga e senha nova, de todos os clientes, coletado por mais de um mês — "e que ainda está sendo coletado nesse momento", adiciona o hacker Todos logs transacionais de todas as operações e transações bancárias realizadas por todos os clientes, incluindo valor, conta origem, conta destino a partir de fevereiro, e com algumas recuperações de janeiro;

a partir de fevereiro, e com algumas recuperações de janeiro; Todas as transações, sem exceção, realizadas pelo CD Pro (o que eles chamam de conta corrente profissional, mas que na prática é apenas a conta digital PJ, pessoa jurídica). "Como esse sistema já nasceu na AWS, o histórico deles é muito maior, e eu copiei todas as transações de junho de 2017 até março de 2018", adicionou

Parte do vazamento

Todos os documentos e contratos de serviço, em formato pdf e tiff (imagem), incluindo CPF, RG, CNH, comprovantes e, eventualmente, declaração de imposto de renda para aqueles que pedem crédito ou aumento de limite do crédito

para aqueles que pedem crédito ou aumento de limite do crédito Centenas de fotografias em formato tiff de cheques de clientes diversos usados pelo serviço de compensação de cheques por imagem no aplicativo

por imagem no aplicativo Padrões de url de sistemas no cloud front

Usuário e senha de FTP do banco Inter na empresa processadora de cartões conductor

na empresa processadora de cartões conductor Dump de todos os arquivos e dados do FTP da conductor

Chaves de API e urls usadas para validar a senha master na processadora de cartões fast solutions

master na processadora de cartões fast solutions Chaves privadas ec2 usadas na AWS, chaves ssh, chaves de API de serviços e até chave privada do certificado ssl wildcard "em produção nesse exato momento"

usadas na AWS, chaves ssh, chaves de API de serviços e até chave privada do certificado ssl wildcard "em produção nesse exato momento" Senhas de diversos funcionários da Virtual Sistemas e grupo Magnus, empresas terceirizadas do banco Inter

Código fonte do novo core banking

Informações dos cartões de clientes e funcionários

Invadindo o Banco Inter?

Ao longo das 18 páginas de seu manifesto, o hacker John explica detalhadamente como fez para obter os dados. Não foi fácil: fica claro que aconteceu um jogo de paciência, e foram semanas minerando os dados por meio de vários tipos de ataques diferentes aos servidores e base de dados.

"O mapa do tesouro estava claro: precisava transpor o Inapsula, que ia chegar no cloud front, do CF eu chegaria aos servidores de aplicação, talvez vários, balanceados, rodando apachecoyote, tomcat e numa aplicação em jsf/2.0, feita em java faces. Mais json e menos xml/soap, estava legal, mas eu tinha o mapa, tinha versões e tinha um plano", diz.

Sabe aquele lema da internet, quando o serviço é gratuito, o produto é você?

"Uma vez que eu já tinha como copiar todo payload chegando e saindo da aplicação, como acessar por túnel SSH reverso sem precisar de novo transpor o Incapsula, e agora com chaves da Amazon para até escolher onde salvar meus dados já que as instâncias eram descartáveis e voláteis, eu só precisava repetir as rotinas em instâncias novas que subissem, copiar os dados pra depois processar e separar lixo do que era útil. O resultado foi esse: 40gb de dados úteis, nada de lixo, exfiltrados sem ninguém perceber", diz ao final da explicação.

Em conversa com o TecMundo, John comentou que o trabalho realizado para obter os dados do Banco Inter levou cerca de sete meses. "Um funcionário do banco foi inconsequente durante seu trabalho e, através deste erro, conseguimos entrar dentro de sistemas do banco e copiar os dados", explicou de maneira simples a invasão.

Resolvemos não revelar como o ataque completo, descrito no manifesto, foi realizado por questões de segurança. O próprio hacker deixa isso claro em um parágrafo:

"Um incidente sem precedentes, com números de cartão de crédito, cvv, senha de cartão, conta corrente, senhas de conta corrente, fotos de documentos, bases cadastrais inteiras. Sigilo bancário, saldo, transações, dados pessoais. Sabe aquele lema da internet, quando o serviço é gratuito, o produto é você? Pois bem, no caso da conta gratuita do Inter, o produto 'você' agora potencialmente pertence a todos que tiveram acesso a esses dados, ou, com base nesse artigo, conseguirem explorar e potencialmente aumentar a taxa de exfiltração".

Manifesto enviado ao TecMundo

IPO do Banco Inter

O Banco Inter, antigo Intermedium, foi fundado em 1994 pela família Menin, dona da construtora MRV. Segundo dados de 2011, coletados pela Economática, a MRV Engenharia é a empresa do setor de construção de edifícios residenciais com o maior lucro na América Latina e nos Estados Unidos.

A principal bandeira do Inter é ser o primeiro banco 100% digital e a gratuidade na abertura de contas, pedido de cartão e transferência. Segundo a empresa, a média diária de abertura chegou aos 2 mil em dezembro de 2017. O Inter espera fechar 2018 com 1 milhão de correntistas — atualmente, na casa dos 400 mil.

O Inter abriu seu IPO (Oferta Pública Inicial) recentemente e vendeu suas ações por R$ 18,50, captando R$ 722 milhões. A faixa de preço das ações variava entre R$ 18 e R$ 23; a oferta primária ficou em R$ 541 milhões e vai para empresa, enquanto isso, a secundária captou R$ 180 milhões (voltada para acionistas vendedores) .

Cheque de um suposto cliente do Banco Inter

Como se proteger?

O TecMundo consultou Emilio Simoni, diretor do dfndr lab, laboratório da PSafe especializado em cibersegurança, sobre dicas de melhores práticas após um vazamento de dados. De acordo com Simoni, caso os dados vazados sejam informações pessoais (RG, CPF, endereço, telefone etc), "uma das primeiras medidas é trocar todas as senhas utilizadas e usar combinações que não sejam de fácil descoberta (como data de aniversário, por exemplo), além de ter senhas únicas para cada serviço. Caso o vazamento de dados pessoais se confirme, é muito importante que as pessoas redobrem a atenção em relação a quaisquer comunicações que chegarem por correios ou e-mail, para se certificarem de que não são comunicações falsas, como boletos, por exemplo. Em relação ao CPF, é possível buscar serviços de monitoramento de utilização do documento".

Os aplicativos bancários devem sempre se comunicar de forma segura com o servidor do banco, verificando a autenticidade do certificado digital

Por outro lado, o vazamento bancário é um pouco mais trabalhoso: "A pessoa que desconfiar que teve seus dados vazados deve entrar em contato com sua agência bancária imediatamente e solicitar o bloqueio de suas contas e/ou cartões, para evitar que haja qualquer movimentação fraudulenta. Após isso, é preciso alterar as credenciais de acesso (senhas, número do cartão, etc)".

"Os aplicativos bancários devem sempre se comunicar de forma segura com o servidor do banco, verificando a autenticidade do certificado digital", disse Emilio Simoni. "Ainda assim, é importante que usuários de aplicativos bancários tomem algumas medidas de proteção, como não acessar o app em redes públicas de wi-fi (tais como cafeterias, hotéis, eventos etc) e possuir um aplicativo de segurança (antivírus) certificado, evitando assim que malwares se sobreponham aos aplicativos de bancos e, com isso, consigam acessar os dados dos usuários".

Registro de transações (censurado)