Um servidor desprotegido teria exposto cerca de 250 GB de documentos digitalizados de clientes de diversas instituições financeiras, conforme apurado com exclusividade pela The Hack. O vazamento foi notificado pelos membros do Data Grupo, grupo de pesquisadores brasileiros independentes dedicados a pesquisar vulnerabilidades críticas em ambientes apps e sistemas industriais (saiba mais sobre eles aqui).

Em um primeiro contato com a nossa equipe, o time nos forneceu uma amostra de aproximadamente 350 MB, contendo cerca de 400 arquivos sensíveis. Porém, os membros do Data garantem que o dump inteiro pesa até 250 GB.

A coleção inclui versões digitais de documentos pessoais (RG, CPF, CNH), comprovantes de endereço, contratos, ordens de pagamento, demonstrativos, holerites, contracheques e até mesmo cartões de crédito. É difícil estimar um número específico de clientes afetados, visto que, pela magnitude do vazamento (e desorganização dos arquivos), não foi possível contabilizar a quantidade de consumidores incluídos no incidente.

Tudo indica que o ambiente vulnerável pertence a um correspondente bancário que trabalha exclusivamente com serviços direcionados ao público aposentado, pensionista, militar ou servidor público, visto que todos os documentos apurados pela The Hack pertencem a correntistas nesses perfis.

Observando a coleção de arquivos, com um pouco de atenção aos detalhes, é possível descobrir todas as características financeiras de cada cliente, incluindo renda mensal (salário ou auxílio) e movimentações bancárias. Também existem extratos gerados em páginas de internet banking, provavelmente usados como comprovantes de rendimentos mensais.

Com essas informações em mãos, qualquer criminoso cibernético seria capaz de elaborar golpes de falsificação ideológica ou phishing direcionado. Felizmente, o servidor já se encontra inacessível e não há indícios de que tais arquivos tenham circulado pela internet; logo, podemos afirmar que os clientes não correm riscos.

A respeito do número de instituições afetadas, a The Hack pôde identificar, até o momento, um total de quatro empresas diferentes do ramo financeiro, sendo todas especializadas no público aposentado, pensionista, militar e servidor público.

O mais afetado: Banco Pan

Embora o vazamento inclua documentos de diversas instituições, a maioria deles pertence ao Banco Pan (anteriormente conhecido como PanAmericano). Fomos capazes de identificar um número colossal de contratos de portabilidade — ou seja, requisições de transferência de dívidas (empréstimos ou financeiros) de outros bancos para o Pan.

Procurada pela The Hack, a assessoria de imprensa da empresa confirmou que o servidor em questão pertence a um parceiro comercial, mas não foi capaz de apontar o seu nome.

Confira a nota na íntegra:

O Banco informa que o ambiente questionado não é de sua propriedade e que, após análise criteriosa em seus sistemas de segurança, não foi constatada qualquer invasão.

Na atuação com parceiros comerciais são capturados dados cadastrais de potenciais clientes por tais parceiros, antes da efetiva formalização de uma operação com o Banco, que adota as medidas cabíveis caso identificado qualquer tipo de uso indevido dessas informações.

Ratifica que a segurança da informação é uma de suas prioridades, alinhada com as melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores.

Em compromisso com a sociedade, segue à disposição para colaborar com a apuração dos fatos.

É importante frisar que o compartilhamento de documentos com correspondentes bancários é uma atividade permitida e prevista pelo Banco Central do Brasil (BCB), sendo normatizada pela resolução nº 3.954 de 2011. O problema está no fato desses correspondentes adotarem ou não as melhores práticas de segurança cibernética para garantir a proteção desses dados sensíveis.

Qual era o problema?

Os documentos vazados se encontravam em um bucket do Simple Storage Service (S3), serviço de armazenamento em nuvem da Amazon. Por conta de uma configuração errônea, o servidor estava público, possibilitando o acesso de um usuário não-autenticado para realizar o download dos arquivos armazenados.

Infelizmente, esse é um erro frequente entre os utilizadores do serviço; pensando nisso, a The Hack preparou um tutorial técnico sobre segurança em buckets do S3. Clique aqui para acessar.

As apurações continuam

A The Hack ainda está apurando a coleção completa de arquivos e notificando as outras instituições financeiras afetadas pelo vazamento. Em breve, publicaremos outras reportagens a respeito do incidente, revelando maiores detalhes sobre este que promete ser o maior vazamento de documentos financeiros do Brasil em 2019. Continue acompanhando.