Milhões de clientes do Bradesco e do Banco Brasil tiveram dados expostos devido a uma falha de segurança encontrada nos respectivos sites das instituições bancárias. Problemas também afetaram o site do serviço de pagamentos Moip e da Boa Vista Serviços (administradora do cadastro de devedores SCPC).
O jornal Folha de S.Paulo conversou com o analista de sistemas Carlos Eduardo Santiago, responsável pela descoberta do problema. Ele disse que já havia avisado as instituições sobre a falha há cerca de um ano, mas nenhuma providência foi tomada.
Bradesco e Moip
Uma falha presente tanto no site do Banco Bradesco quanto do Moip permitia que boletos bancários gerados online fossem encontrados por meio de uma simples pesquisa no Google, graças a uma URL desprotegida. Essa vulnerabilidade deixava os dados do boleto expostos para qualquer pessoa, incluindo CPF, nome, endereço, agência e número da conta, além do valor e do estabelecimento em questão. Enquanto o Bradesco expõe informações sobre os clientes do banco, o Moip deixa os dados de clientes de diversas empresas que utilizam o serviço de pagamento desprotegidos.
Em sua defesa, o Bradesco disse que "trata-se de uma URL válida do comércio eletrônico do banco. A mesma não representa falha e nem vulnerabilidade, pois não é possível alterar os dados do boleto, porém permite que a loja conveniada ao banco mande a URL para que o comprador gere o boleto para pagamento. Por ser uma URL, é passível de aparecer no Google como qualquer outra página". A instituição completa dizendo que esse sistema "é utilizado há mais de 10 anos e o banco nunca registrou fraude ou problema de clientes." Em outras palavras, a brecha continua habilitada.
Já o Moip disse que os boletos gerados pelo sistema "são automaticamente retirados de qualquer indexação deste [Google] ou qualquer outro buscador. As URLs dos boletos em questão foram disponibilizadas pelos próprios vendedores em seus sites, permitindo assim suas indexações pelo Google". De qualquer forma, a empresa alega que já entrou em contato com a equipe técnica do Google para solicitar que futuras indexações, mesmo feitas por terceiros, sejam impedidas de aparecer nos resultados de busca do gigante da web.
Banco do Brasil
O problema identificado no site do Banco do Brasil podia ser visto na seção de seguros residenciais da agência virtual da instituição. A falha permitia que qualquer pessoa com acesso à área em questão (cliente segurado pelo banco ou em posse desses dados) visualizasse CPF, nome, endereço, telefone, e-mail, agência e número da conta de outro segurado, por meio de uma simples alteração no código, que pode ser visualizado com qualquer navegador.
Como o analista de sistemas que informou a existência do problema não foi ouvido pela empresa, o jornal Folha de S.Paulo contatou o Banco e no mesmo dia a falha foi solucionada. "O Banco do Brasil corrigiu imediatamente falha pontual restrita às consultas de propostas de Seguro Residencial. O problema não teve associação com qualquer tipo de transação financeira. Portanto, não trouxe riscos para clientes", disse o BB por meio de nota.
Boa Vista Serviços
Neste caso, qualquer pessoa que estivesse com dívidas registradas no Serviço Central de Proteção ao Crédito (SCPC) poderia ter seus dados vazados, incluindo nome, data de nascimento, registro do credor e telefone. A falha estava presente na seção de consulta de débitos do site da Boa Vista Serviços e também foi corrigida apenas após o contato do jornal paulista.
"O serviço de autoconsulta de CPF é oferecido gratuitamente para que o consumidor consulte sua situação [...]O consumidor deve consultar o seu CPF, e não o de outras pessoas. Identificamos isso, mas já bloqueamos aquele caminho. É um caminho técnico e que o usuário comum do portal não faria, porque precisa de um conhecimento para abrir linhas de código. Já está bloqueado", disse a Boa Vista Serviços sobre o problema.
Fonte: http://canaltech.com.br/
Nenhum comentário:
Postar um comentário