Início » Segurança » Falhas de segurança nos sites do Bradesco e Banco do Brasil expõem dados de clientes

Falhas de segurança nos sites do Bradesco e Banco do Brasil expõem dados de clientes

Por
49 semanas atrás

Falhas de segurança existentes nos sites do Bradesco e Banco do Brasil expuseram dados de milhões de clientes. As brechas permitiam o acesso a determinadas informações pessoais, como CPF, nome completo, telefone e endereço. Os problemas também ocorriam no serviço de pagamentos Moip e na Boa Vista Serviços, responsável por administrar o Serviço Central de Proteção ao Crédito (SCPC).

As brechas foram descobertas pelo analista de sistemas Carlos Eduardo Santiago e algumas delas existiam há pelo menos um ano. Ele relatou os problemas por meio do serviço de atendimento das empresas, mas foi ignorado, então decidiu contar os detalhes à Folha.

No Bradesco, boletos bancários estão visíveis por qualquer um e podem ser encontrados através de pesquisas no Google. Os documentos contêm dados como CPF, nome completo, endereço e número da conta. Essa falha não é muito diferente da encontrada recentemente nos sites da Telexfree e BBOM. Alterando os parâmetros da URL, é possível acessar boletos de outros clientes.

Só que o Bradesco diz que esta não é uma falha de segurança, mas sim uma característica do sistema: as URLs permitem que clientes de lojas online conveniadas ao banco acessem seus boletos para fazer o pagamento. O Bradesco afirma que a URL é “passível de aparecer no Google como qualquer outra página” e declara que nunca teve problemas com fraudes, mesmo usando o sistema há mais de 10 anos.

Boletos bancários do Moip também estão acessíveis, mas o serviço declarou que as URLs encontradas em buscas estavam sendo disponibilizadas pelos vendedores em seus sites, o que permitiu a indexação pelo Google. Os boletos gerados a partir do Moip seriam automaticamente removidos das buscas; de qualquer forma, o serviço entrou em contato com o Google para evitar que os boletos sejam indexados no futuro.

Já o problema no Banco do Brasil era um pouco mais restrito. Ele podia ser explorado apenas por quem tivesse acesso à seção de seguros residenciais da agência virtual e permitia a visualização de dados como agência e número da conta, CPF e nome. A brecha permaneceu no ar por pelo menos duas semanas, mas foi corrigida assim que o banco recebeu as informações da Folha. Não houve risco para os clientes, segundo o banco.

A Boa Vista Serviços, que administra o cadastro de devedores SCPC, possui um sistema que permite que 2,5 milhões de pessoas consultem dívidas relacionadas ao seu CPF. O problema é que uma pessoa poderia consultar dívidas de outro CPF, algo que não é permitido pelos termos de uso do próprio serviço. A falha, que segundo a empresa exigia conhecimentos técnicos, foi corrigida.

Com informações: Folha.

  • http://www.tfxbrasil.com/index.php Juan de Souza

    O Locaweb também enfrenta este problema de alterar o parâmetro e acessar informações de boletos de outros clientes!

    • Rafael Machado de Souza

      então vai morar no meio do deserto!

    • Gaba

      Não sei se você notou, mas estamos em um blog de… tecnologia, chamado… pasme, tecnoblog O.o

    • Marcoscs

      galera, antes de sair tacando pedras, dando lição de moral ou sair com o dedo em riste, vocês já pensaram, sei lá, na possibilidade de o Raul Theo estar sendo, tipo assim…
      irônico?

    • Gaba

      Não é uma exclusividade do WP8. Quando eu usava Android era muito ruim. Mas nunca tive problemas no WP8…

    • TaylerPadilha

      robots.txt

  • André Noia

    O melhor de tudo é que só tomam providência quando sai na mídia. Estão se lixando pro consumidor que liga pro suporte.

  • romulo

    Pô pessoal, vejam pela lado bom.

    Se precisar pagar um boleto com urgência e por acaso esqueceu de imprimir e não tem a url para gerar outro, é só pesquisar no Google… haha

    • Rodrigo Ribeiro

      Exatamente!

      Não sei porque o BB voltou com esse maldito plugin!

      Era tão boa a época em que bastava o add-on no Firefox. :’-( sniff

      Eu desinstalei essa tranqueira e agora faço as transações apenas pelo app pra iOS. No meu caso esse plugin além de ficar bisbilhotando ainda deixava meu computador lento.

  • http://www.br-geek.org Nash

    Bradesco: “Se a falha nunca foi explorada em 10 anos, ela não existe.”

    Não sei nem o que comentar mais. É genial, só que ao contrário.

Tecnocast

|

Faça seu login no Tecnoblog

Crie a sua conta

Esqueci minha senha