Ir para o conteúdo.

Início » Segurança » Falhas de segurança nos sites do Bradesco e Banco do Brasil expõem dados de clientes

Falhas de segurança existentes nos sites do Bradesco e Banco do Brasil expuseram dados de milhões de clientes. As brechas permitiam o acesso a determinadas informações pessoais, como CPF, nome completo, telefone e endereço. Os problemas também ocorriam no serviço de pagamentos Moip e na Boa Vista Serviços, responsável por administrar o Serviço Central de Proteção ao Crédito (SCPC).

As brechas foram descobertas pelo analista de sistemas Carlos Eduardo Santiago e algumas delas existiam há pelo menos um ano. Ele relatou os problemas por meio do serviço de atendimento das empresas, mas foi ignorado, então decidiu contar os detalhes à Folha.

No Bradesco, boletos bancários estão visíveis por qualquer um e podem ser encontrados através de pesquisas no Google. Os documentos contêm dados como CPF, nome completo, endereço e número da conta. Essa falha não é muito diferente da encontrada recentemente nos sites da Telexfree e BBOM. Alterando os parâmetros da URL, é possível acessar boletos de outros clientes.

Só que o Bradesco diz que esta não é uma falha de segurança, mas sim uma característica do sistema: as URLs permitem que clientes de lojas online conveniadas ao banco acessem seus boletos para fazer o pagamento. O Bradesco afirma que a URL é “passível de aparecer no Google como qualquer outra página” e declara que nunca teve problemas com fraudes, mesmo usando o sistema há mais de 10 anos.

Boletos bancários do Moip também estão acessíveis, mas o serviço declarou que as URLs encontradas em buscas estavam sendo disponibilizadas pelos vendedores em seus sites, o que permitiu a indexação pelo Google. Os boletos gerados a partir do Moip seriam automaticamente removidos das buscas; de qualquer forma, o serviço entrou em contato com o Google para evitar que os boletos sejam indexados no futuro.

Já o problema no Banco do Brasil era um pouco mais restrito. Ele podia ser explorado apenas por quem tivesse acesso à seção de seguros residenciais da agência virtual e permitia a visualização de dados como agência e número da conta, CPF e nome. A brecha permaneceu no ar por pelo menos duas semanas, mas foi corrigida assim que o banco recebeu as informações da Folha. Não houve risco para os clientes, segundo o banco.

A Boa Vista Serviços, que administra o cadastro de devedores SCPC, possui um sistema que permite que 2,5 milhões de pessoas consultem dívidas relacionadas ao seu CPF. O problema é que uma pessoa poderia consultar dívidas de outro CPF, algo que não é permitido pelos termos de uso do próprio serviço. A falha, que segundo a empresa exigia conhecimentos técnicos, foi corrigida.

Com informações: Folha.

19 Comentários (Deixe o seu!)

  • O Locaweb também enfrenta este problema de alterar o parâmetro e acessar informações de boletos de outros clientes!

  • por isso que odeio tecnologia.

    • Rafael Machado de Souza
      728c

      então vai morar no meio do deserto!

    • E usa facebook. Tá serto!

    • Gaba
      1912c

      Não sei se você notou, mas estamos em um blog de… tecnologia, chamado… pasme, tecnoblog O.o

    • esqueceu a hashtag #JK ou #sqn

    • Bancos ainda tem caixas pra você pagar suas contas, pode lá enfrentar sua fila básica. Tem também lojas físicas pra você comprar o que necessitar. Acredite, você não fará nenhuma falta ao sistema dos bancos, muito pelo contrário, eles farão falta em algum momento a você.

    • Marcoscs
      929c

      galera, antes de sair tacando pedras, dando lição de moral ou sair com o dedo em riste, vocês já pensaram, sei lá, na possibilidade de o Raul Theo estar sendo, tipo assim…
      irônico?

  • o app do banco do brasil para windows 8 e wp8 é o pior lixo existente na face da terra, alem de q para acessar pelo browser precisa instalar crapware no pc, q aumenta a demora de abertura de paginas em 0.5seg no minimo….

    • Gaba
      1912c

      Não é uma exclusividade do WP8. Quando eu usava Android era muito ruim. Mas nunca tive problemas no WP8…

  • "O Bradesco afirma que a URL é “passível de aparecer no Google como qualquer outra página” – Existem 973420476298 formas de bloquear uma pagina da indexação do Gloogle

    • TaylerPadilha
      1c

      robots.txt

    • Essa declaração tá parecendo aquelas feitas por "formatadores" de máquinas: o cara não manja nada… mas finge que manja…

    • Um robots.txt com
      User-agent: * Disallow: /
      Bastaria?

  • André Noia
    63c

    O melhor de tudo é que só tomam providência quando sai na mídia. Estão se lixando pro consumidor que liga pro suporte.

  • romulo
    1c

    Pô pessoal, vejam pela lado bom.

    Se precisar pagar um boleto com urgência e por acaso esqueceu de imprimir e não tem a url para gerar outro, é só pesquisar no Google… haha

  • Bom essa falha de segurança expõe dos dados do usuário para o publico, mas tem problema pior talvez:
    a invasão de privacidade cometida pelo plugin de segurança do BB, que coleta informações sem aviso ou pedido de autorização como mostra esta imagem https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-ash4/1014218_10200171161034771_794186864_n.jpg
    no caso mostra o plugin instalado no Chrome onde não existe opção de desativar ou remover tal plugin…

    • Rodrigo Ribeiro
      1c

      Exatamente!

      Não sei porque o BB voltou com esse maldito plugin!

      Era tão boa a época em que bastava o add-on no Firefox. :’-( sniff

      Eu desinstalei essa tranqueira e agora faço as transações apenas pelo app pra iOS. No meu caso esse plugin além de ficar bisbilhotando ainda deixava meu computador lento.

  • Nash
    12c

    Bradesco: “Se a falha nunca foi explorada em 10 anos, ela não existe.”

    Não sei nem o que comentar mais. É genial, só que ao contrário.

Deixar comentário:

Leia | Política de Comentários.