Início » Antivírus e Segurança » Banco Inter teve certificado revogado após chave de criptografia privada vazar na internet

Banco Inter teve certificado revogado após chave de criptografia privada vazar na internet

Caso deixa dúvidas sobre as práticas de segurança do Banco Inter, que teria vazado dados de 300 mil clientes

Paulo Higa Por

A novela do vazamento de informações de clientes do Banco Inter ainda não acabou. O caso, que é investigado pelo Ministério Público, ganhou mais um capítulo depois que um certificado digital da instituição financeira foi revogado. O motivo alegado é o comprometimento da chave de criptografia privada, o que coloca mais dúvidas sobre as práticas de segurança do banco.

Tudo começou quando o TecMundo informou que recebeu um arquivo criptografado de 40 GB com informações pessoais de 300 mil clientes do Banco Inter. Entre as informações, estão dados cadastrais como senha, código de segurança (CVV), e-mail, telefone, documentos, declarações de imposto de renda e fotos de cheques para compensação via aplicativo.

No mesmo dia, o Banco Inter declarou que “não houve invasão e tampouco comprometimento dos sistemas de segurança”. Em comunicado ao mercado, afirmou que a notícia do vazamento era “inverídica, com conteúdo técnico questionável e impreciso, publicada com o objetivo exclusivo de prejudicar a reputação do banco”. Disse ainda que a divulgação de “notícias falsas ou fatos verdadeiros truncados ou deturpados” a respeito de instituição financeira era crime.

Só que o pesquisador de segurança Thiago Ayub compartilhou no Twitter, no dia 9 de maio, um teste que mostrava uma troca de mensagens criptografada com a chave privada do Banco Inter, como informa a Exame. Essa chave é sigilosa, portanto, não deveria ter sido exposta para pessoas de fora do banco. Em 11 de maio, o certificado foi revogado com o motivo “keyCompromise”, indicando que a chave foi comprometida.

O pesquisador propôs a criação de um sistema para que os clientes pudessem verificar se suas informações estavam no vazamento. No entanto, o projeto nunca foi lançado: após solicitar um pronunciamento do banco, Ayub informou que foi censurado, sem deixar claro quem teria feito isso.

O G1 confirmou a autenticidade de um dos certificados revogados, emitido pela GoDaddy, que estava sendo utilizado pelo Banco Inter desde 14 de outubro de 2017. Mesmo tendo validade até 18 de agosto de 2019, o certificado foi revogado no dia 11 de maio de 2018. Atualmente, o site do Banco Inter adota um certificado diferente, emitido em 29 de abril de 2018 pela DigiCert.

De posse da chave privada, uma pessoa mal intencionada poderia criar uma réplica fiel do site do Banco Inter, utilizando um certificado legítimo da própria instituição, abrindo espaço para ataques de phishing. A revogação do certificado com a chave comprometida evita que isso aconteça no futuro, mas pode servir como uma prova importante para a investigação do possível vazamento de dados de clientes.

Oficialmente, o Banco Inter diz à Exame que foi “vítima de ação criminosa” e continua afirmando que não houve “comprometimento da segurança no ambiente externo e nem dano à sua estrutura tecnológica”. O Tecnoblog procurou o banco para obter um posicionamento sobre o vazamento da chave de criptografia privada, mas a empresa não havia respondido até a última atualização deste texto.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

@Sckillfer

Não necessariamente uma chave ter vazado significa que 40GB com dados de clientes também tenha. Tô preocupado, mas pro povo queimando as fintechs: a Caixa, banco tradicional, cheio de complicações esdruxulas para acessar a conta, tem uma politica de segurança a informação tão boa que para vender "investimentos" me ligou e o atendente disparou a falar todos os meus dados "para confirmação". Que empresa que para confirmar que você é você fala todos os seus dados?

Roger Cleber Masters

Continuo usando o Inter e sem duvidas vou continuar , pois tem bancos muito piores por ai ..

Nem preciso falar nee !!

Felipe Liʍa

. .

Caleb Enyawbruce
Mateus

Meu Deus, depois desse seu comentário vou sacar tudo que tenho em bancos e guardar de baixo do colchão em casa...

Felipe Liʍa

nao tenho culpa q essa informação eh de 2 semanas ja! ¯\_(ツ)_/¯

Caleb Enyawbruce
Felipe Liʍa

Essa materia ta incompleta

Caleb Enyawbruce

vc leu essa parte?

"O G1 confirmou a autenticidade de um dos certificados revogados, emitido pela GoDaddy, que estava sendo utilizado pelo Banco Inter desde 14 de outubro de 2017. Mesmo tendo validade até 18 de agosto de 2019, o certificado foi revogado no dia 11 de maio de 2018. Atualmente, o site do Banco Inter adota um certificado diferente, emitido em 29 de abril de 2018 pela DigiCert."

O problema ocorreu, é um fato. Foi corrigido depois com o uso de outro certificado? Sim, mas ocorreu. E foi bem recente, como diz aí.

Felipe Liʍa

Mas foi muito rápido. Ctz q ja estavam prevendo q o BC iria fechar o Neon!

Felipe Liʍa

So q o banco não usa mais essa chave a pelo menos 2 anos...

Marcus Araújo

Testei outros DNS, só se fosse problema no autoritativo (que também é de responsabilidade do site/banco).

Caleb Enyawbruce

ah cara, desculpe, mas nem vou responder

Caleb Enyawbruce

Comprovar oq? A chave do certificado vazou. Foi exatamente isso q o pesquisador mostrou, e que causou a revogação do certificado pelo orgao de controle.

Dhawny

Sou cliente da Monetus tem uns 18 meses e só alegria, menos quando a Bolsa de Valores cai.
KKK

Exibir mais comentários