Falhas de segurança existentes nos sites do Bradesco e Banco do Brasil expuseram dados de milhões de clientes. As brechas permitiam o acesso a determinadas informações pessoais, como CPF, nome completo, telefone e endereço. Os problemas também ocorriam no serviço de pagamentos Moip e na Boa Vista Serviços, responsável por administrar o Serviço Central de Proteção ao Crédito (SCPC).

As brechas foram descobertas pelo analista de sistemas Carlos Eduardo Santiago e algumas delas existiam há pelo menos um ano. Ele relatou os problemas por meio do serviço de atendimento das empresas, mas foi ignorado, então decidiu contar os detalhes à Folha.

No Bradesco, boletos bancários estão visíveis por qualquer um e podem ser encontrados através de pesquisas no Google. Os documentos contêm dados como CPF, nome completo, endereço e número da conta. Essa falha não é muito diferente da encontrada recentemente nos sites da Telexfree e BBOM. Alterando os parâmetros da URL, é possível acessar boletos de outros clientes.

Só que o Bradesco diz que esta não é uma falha de segurança, mas sim uma característica do sistema: as URLs permitem que clientes de lojas online conveniadas ao banco acessem seus boletos para fazer o pagamento. O Bradesco afirma que a URL é “passível de aparecer no Google como qualquer outra página” e declara que nunca teve problemas com fraudes, mesmo usando o sistema há mais de 10 anos.

Boletos bancários do Moip também estão acessíveis, mas o serviço declarou que as URLs encontradas em buscas estavam sendo disponibilizadas pelos vendedores em seus sites, o que permitiu a indexação pelo Google. Os boletos gerados a partir do Moip seriam automaticamente removidos das buscas; de qualquer forma, o serviço entrou em contato com o Google para evitar que os boletos sejam indexados no futuro.

Já o problema no Banco do Brasil era um pouco mais restrito. Ele podia ser explorado apenas por quem tivesse acesso à seção de seguros residenciais da agência virtual e permitia a visualização de dados como agência e número da conta, CPF e nome. A brecha permaneceu no ar por pelo menos duas semanas, mas foi corrigida assim que o banco recebeu as informações da Folha. Não houve risco para os clientes, segundo o banco.

A Boa Vista Serviços, que administra o cadastro de devedores SCPC, possui um sistema que permite que 2,5 milhões de pessoas consultem dívidas relacionadas ao seu CPF. O problema é que uma pessoa poderia consultar dívidas de outro CPF, algo que não é permitido pelos termos de uso do próprio serviço. A falha, que segundo a empresa exigia conhecimentos técnicos, foi corrigida.

Com informações: Folha.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Rodrigo Ribeiro
Exatamente! Não sei porque o BB voltou com esse maldito plugin! Era tão boa a época em que bastava o add-on no Firefox. :'-( sniff Eu desinstalei essa tranqueira e agora faço as transações apenas pelo app pra iOS. No meu caso esse plugin além de ficar bisbilhotando ainda deixava meu computador lento.
Nash
Bradesco: "Se a falha nunca foi explorada em 10 anos, ela não existe." Não sei nem o que comentar mais. É genial, só que ao contrário.
Mário Aragão
Um robots.txt com User-agent: * Disallow: / Bastaria?
Marcoscs
galera, antes de sair tacando pedras, dando lição de moral ou sair com o dedo em riste, vocês já pensaram, sei lá, na possibilidade de o Raul Theo estar sendo, tipo assim... irônico?
Rodrigo Rath
Bom essa falha de segurança expõe dos dados do usuário para o publico, mas tem problema pior talvez: a invasão de privacidade cometida pelo plugin de segurança do BB, que coleta informações sem aviso ou pedido de autorização como mostra esta imagem https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-ash4/1014218_10200171161034771_794186864_n.jpg no caso mostra o plugin instalado no Chrome onde não existe opção de desativar ou remover tal plugin...
romulo
Pô pessoal, vejam pela lado bom. Se precisar pagar um boleto com urgência e por acaso esqueceu de imprimir e não tem a url para gerar outro, é só pesquisar no Google... haha
André Noia
O melhor de tudo é que só tomam providência quando sai na mídia. Estão se lixando pro consumidor que liga pro suporte.
Willian Medeiros de Faria
Bancos ainda tem caixas pra você pagar suas contas, pode lá enfrentar sua fila básica. Tem também lojas físicas pra você comprar o que necessitar. Acredite, você não fará nenhuma falta ao sistema dos bancos, muito pelo contrário, eles farão falta em algum momento a você.
Rodrigo Silva Barretos
Essa declaração tá parecendo aquelas feitas por "formatadores" de máquinas: o cara não manja nada... mas finge que manja...
Rodrigo Silva Barretos
esqueceu a hashtag #JK ou #sqn
Gaba
Não sei se você notou, mas estamos em um blog de... tecnologia, chamado... pasme, tecnoblog O.o
TaylerPadilha
robots.txt
Suely Almeida
E usa facebook. Tá serto!
Gaba
Não é uma exclusividade do WP8. Quando eu usava Android era muito ruim. Mas nunca tive problemas no WP8...
Gabriel Magalhães Dos Santos
"O Bradesco afirma que a URL é “passível de aparecer no Google como qualquer outra página” - Existem 973420476298 formas de bloquear uma pagina da indexação do Gloogle
Exibir mais comentários