Início » Antivírus e Segurança » Banco Inter teve certificado revogado após chave de criptografia privada vazar na internet

Banco Inter teve certificado revogado após chave de criptografia privada vazar na internet

Caso deixa dúvidas sobre as práticas de segurança do Banco Inter, que teria vazado dados de 300 mil clientes

Paulo Higa Por

A novela do vazamento de informações de clientes do Banco Inter ainda não acabou. O caso, que é investigado pelo Ministério Público, ganhou mais um capítulo depois que um certificado digital da instituição financeira foi revogado. O motivo alegado é o comprometimento da chave de criptografia privada, o que coloca mais dúvidas sobre as práticas de segurança do banco.

Tudo começou quando o TecMundo informou que recebeu um arquivo criptografado de 40 GB com informações pessoais de 300 mil clientes do Banco Inter. Entre as informações, estão dados cadastrais como senha, código de segurança (CVV), e-mail, telefone, documentos, declarações de imposto de renda e fotos de cheques para compensação via aplicativo.

No mesmo dia, o Banco Inter declarou que “não houve invasão e tampouco comprometimento dos sistemas de segurança”. Em comunicado ao mercado, afirmou que a notícia do vazamento era “inverídica, com conteúdo técnico questionável e impreciso, publicada com o objetivo exclusivo de prejudicar a reputação do banco”. Disse ainda que a divulgação de "notícias falsas ou fatos verdadeiros truncados ou deturpados" a respeito de instituição financeira era crime.

Só que o pesquisador de segurança Thiago Ayub compartilhou no Twitter, no dia 9 de maio, um teste que mostrava uma troca de mensagens criptografada com a chave privada do Banco Inter, como informa a Exame. Essa chave é sigilosa, portanto, não deveria ter sido exposta para pessoas de fora do banco. Em 11 de maio, o certificado foi revogado com o motivo “keyCompromise”, indicando que a chave foi comprometida.

O pesquisador propôs a criação de um sistema para que os clientes pudessem verificar se suas informações estavam no vazamento. No entanto, o projeto nunca foi lançado: após solicitar um pronunciamento do banco, Ayub informou que foi censurado, sem deixar claro quem teria feito isso.

O G1 confirmou a autenticidade de um dos certificados revogados, emitido pela GoDaddy, que estava sendo utilizado pelo Banco Inter desde 14 de outubro de 2017. Mesmo tendo validade até 18 de agosto de 2019, o certificado foi revogado no dia 11 de maio de 2018. Atualmente, o site do Banco Inter adota um certificado diferente, emitido em 29 de abril de 2018 pela DigiCert.

De posse da chave privada, uma pessoa mal intencionada poderia criar uma réplica fiel do site do Banco Inter, utilizando um certificado legítimo da própria instituição, abrindo espaço para ataques de phishing. A revogação do certificado com a chave comprometida evita que isso aconteça no futuro, mas pode servir como uma prova importante para a investigação do possível vazamento de dados de clientes.

Oficialmente, o Banco Inter diz à Exame que foi “vítima de ação criminosa” e continua afirmando que não houve “comprometimento da segurança no ambiente externo e nem dano à sua estrutura tecnológica”. O Tecnoblog procurou o banco para obter um posicionamento sobre o vazamento da chave de criptografia privada, mas a empresa não havia respondido até a última atualização deste texto.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

celsoacelante
https://goo.gl/7RsV1T
celsoacelante
https://goo.gl/nvJJaV
celsoacelante
https://goo.gl/mJxudb
celsoacelante
https://goo.gl/gJXYvQ
celsoacelante
https://goo.gl/mZQtDM
celsoacelante
https://goo.gl/wE5i6w
celsoacelante
https://goo.gl/LTqdgW
celsoacelante
https://goo.gl/giLimu
celsoacelante
https://goo.gl/VaHWaW
celsoacelante
https://goo.gl/BCouWp
celsoacelante
https://goo.gl/NaoeTt
celsoacelante
https://goo.gl/FWA3Ht
celsoacelante
https://goo.gl/2Ypdt7
celsoacelante
https://goo.gl/DYhoMM
celsoacelante
https://goo.gl/nirGa6
celsoacelante
https://goo.gl/AASwdF
celsoacelante
https://goo.gl/4FvE4L
celsoacelante
https://goo.gl/r1HAXc
celsoacelante
https://goo.gl/aFAZkg
celsoacelante
https://goo.gl/RTq36t
celsoacelante
https://goo.gl/Qj8RTt
celsoacelante
https://goo.gl/rXq4K8
@Sckillfer
Não necessariamente uma chave ter vazado significa que 40GB com dados de clientes também tenha. Tô preocupado, mas pro povo queimando as fintechs: a Caixa, banco tradicional, cheio de complicações esdruxulas para acessar a conta, tem uma politica de segurança a informação tão boa que para vender "investimentos" me ligou e o atendente disparou a falar todos os meus dados "para confirmação". Que empresa que para confirmar que você é você fala todos os seus dados?
Roger Cleber Masters
Continuo usando o Inter e sem duvidas vou continuar , pois tem bancos muito piores por ai ..Nem preciso falar nee !!
Felipe Liʍa
. .
Caleb Enyawbruce
https://uploads.disquscdn.c...
Mateus
Meu Deus, depois desse seu comentário vou sacar tudo que tenho em bancos e guardar de baixo do colchão em casa...
Felipe Liʍa
nao tenho culpa q essa informação eh de 2 semanas ja! ¯\_(ツ)_/¯
Caleb Enyawbruce
https://uploads.disquscdn.c...
Felipe Liʍa
Essa materia ta incompleta
Caleb Enyawbruce
vc leu essa parte?"O G1 confirmou a autenticidade de um dos certificados revogados, emitido pela GoDaddy, que estava sendo utilizado pelo Banco Inter desde 14 de outubro de 2017. Mesmo tendo validade até 18 de agosto de 2019, o certificado foi revogado no dia 11 de maio de 2018. Atualmente, o site do Banco Inter adota um certificado diferente, emitido em 29 de abril de 2018 pela DigiCert."O problema ocorreu, é um fato. Foi corrigido depois com o uso de outro certificado? Sim, mas ocorreu. E foi bem recente, como diz aí.
Felipe Liʍa
Mas foi muito rápido. Ctz q ja estavam prevendo q o BC iria fechar o Neon!
Felipe Liʍa
So q o banco não usa mais essa chave a pelo menos 2 anos...
Marcus Araújo
Testei outros DNS, só se fosse problema no autoritativo (que também é de responsabilidade do site/banco).
Caleb Enyawbruce
ah cara, desculpe, mas nem vou responder
Caleb Enyawbruce
Comprovar oq? A chave do certificado vazou. Foi exatamente isso q o pesquisador mostrou, e que causou a revogação do certificado pelo orgao de controle.
Dhawny
Sou cliente da Monetus tem uns 18 meses e só alegria, menos quando a Bolsa de Valores cai.KKK
Dhawny
Até porque dinheiro parado na conta é pedir pra gastar em bobagem.
Dhawny
Ah sim, deu o quê? 15 dias para conseguirem reverter?O dono deve ter ficado com o * na mão, nem deve ter dormido esses dias.Ainda bem que estava tudo certo com ele e rapidinho reverteu.
Fabs Bauer
Então vamos saber? Ótimo! Queremos todos saber mesmo!
Marcelo Alves
Antes em qualquer notícia relacionado ao Banco Inter, só tinha fanboy nos comentários.E agora?Sumiram todos kkkkk
Felipe Liʍa
Justo na semana do IPO delea
Felipe Liʍa
Para investir RF e RV, tem varias corretoras. Banco tem o BMG por ex.
Felipe Liʍa
Ou o TecMundo recebe a visita do processinho
Felipe Liʍa
Ao deixar aplicado no CDI POS deles
Felipe Liʍa
Neon Pagamentos ja fechou parceria com o BANCO VOTORANTIM!!!
Felipe Liʍa
E de preferência nao dx dinheiro parado na conta corrente. Sempre aplicado em algum Investimento
Felipe Liʍa
Ele nao foi censurado. Ele q nao soube "cotninuco" a histórinha dele. So ver todo o alarde q ele fez no twitter
Felipe Liʍa
Mas tem q aguardar as investigações. Se for comprovado ai o Inter tera q achar um jeito de pedir desculpas para os clientes. Se nao, segue a vida rss
Marco Antônio Felício
Bancos: organizações judaico-sionistas maçônicas que exploram países, empresas, pessoas, através da prática da usura abusiva e ainda os otários agradecem á eles, por "cuidar do seu dinheiro".
Gabriel
Isso é interessante, os tokens dão mais segurança. Quanto mais melhor kkk
Marco Antonio Felicio
Envenenamento de cache DNS (DNS cache poisoning)
Gabriel
Entrou pra lista, vou analisar.
Gabriel
Tenho minhas dúvidas, claro que resolveram o problema e tal, mas vou esperar mais um pouco.
Gabriel
Vou pesquisar, ouvi falar dos robôs (vérios e warren) também como opção. Mas dependendo da taxa de administração, investir direto pela corretora é melhor.
Internet
Depende. Se algum hacker estiver gravando todo o tráfego de uma rede Wi-Fi pública, ele pode tentar descriptografar o tráfego HTTPS depois por força bruta (nada prático), ou através de uma chave privada vazada — mesmo se o certificado relacionado for revogado —, desde que os sites navegados não tenham suporte à Perfect Forward Secrecy.
Nilton César Cavenaghi
Eles deverias usar o mesmo sistema das urnas eletrônicas, pois é "inviolável" segundo o governo de Lula e Maduro
Roger Cleber Masters
Estão tentando derrubar o inter faz tempo , isso pois ele presta um ótimo serviço..Eu sou usuário dele e aprovo o serviços e o seu app sempre são bem atualizados, tem bancos grandes querendo derrubar ele, PIOR CEGO SÃO AQUELES QUE NÃO QUEREM VER ..INTER nunca me deixou na mão em nada e o atendimento e nota 10 , por isso sou mais ele que iTAU E SANTANDER e outros lixos na praças. Vlw..
🧙‍♂️ Mago Erudito® ᴾᴿᴱᴹᴵᵁᴹ
Por isso eu compro bitcoin.Funcionando 24/7 desde 2009. :)
João
Tecmundo não tem nada a ver, são fontes externas que vazam pra eles. Não é como se eles fossem os hackerzzzz e achem falhas.
ʞǝʌǝɥs
caramba, estatal é uma m. mesmo né, empresa privada é que é eficiente ...ops, pera, não
Caleb Enyawbruce
rsrs! nao resisti :P
Caleb Enyawbruce
huahuahua! tenso
Roberto César
O Banco Inter tem incomodado muitos. Mas cliente satisfeito não desiste. Isso sim que é banco sem tarifas de verdade!
Ian Prado
Por isso que eu aconselho aos meus chegados abrir contas em bancos digitais diferentes. Caso a sua conta se vá em um, você sempre terá respaldo de outra agência. O banco Inter tem me servido muito bem mas ... Alô Nubank, Next e Digio !
armand8liveira
Troquei a senha é bloqueei o cartão até eles confirmarem o que acontece
Anderson
Quer arranjar treta de ficar com medo de sair de casa, entra no site do macmagazine e discorda do pessoal kkk
Fernando Val
Nenhum sistema é infalível. Já presenciei inúmeras quedas temporárias (alguns minutos) de Bradesco e Santander. Mas essa da desculpa esfarrapada da pane elétrica, tirou o Santander do ar das 10h às 21h. Ou seja: o dia inteiro. E não foi só o site, foi o banco. Nada funcionou, nesse dia. Cartões de crédito, débito e nem as agências conseguiram operar nesse dia. Isso foi "A QUEDA" e não uma queda.https://tecnoblog.net/23537...
Marcus Araújo
Não é querendo defender o Inter (até porque não tem o que defender nesse caso específico), porém tempos atrás o Itaú sofreu um ataque onde desviaram o acesso do site principal oficial e estranhamente pouco foi falado sobre esse caso. Neste dia eu mesmo fiz o traceroute com diversos DNSs e percebi o tráfego indo para um endereço estranho.Onde quero chegar: até que ponto sabemos dessas coisas? Se este caso que aconteceu hoje com o Inter tivesse sido com o Itaú, teríamos a mesma repercussão?
biscoitao
hahahahahaO mais engraçado é que fazem a defesa gratuitamente, pior, ainda pagando caro pelo produto (Apple's users) e sem direito a desconto
biscoitao
OMG, fui spoilado lendo sobre vazamento de banco
Rodrigo Dias Carvalho
Quando vc souber a quantidades de vezes por dia q os bancos caem, ficam com acessos lentos... só quem trabalha com financeiro sabe...
Gertrudes, a Lhama
SPOILER ALERT!!!!!!!!!
Valentina ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Esconder fatos assim é o que qualquer banco faria. A única segurança que quero é a de que meu LCI não vai virar pó, tal qual os vingadores, e que se eu perder algo o fundo garantidor vai me ressarcir.Como eles vem de uma construtora, devem ter $$ pra se garantir e manter o banco em pé (e comprar a imprensa pra esconder fatos, como tá claro). Tal qual o bradesco, santander e outros. A diferença, pra mim, é que o rendimento deles é melhor.E de fato, fosse algum outro meio divulgando o vazamento a gente acreditaria, mas vindo do tecmundo não tem como mesmo hahah*** longe de mim defender banco, só tou expondo que confio que meu dinheiro vai continuar lá.
Arthur Medeiros
Abri conta lá e até o momento tou adorando. O internet Banking deles, ao contrário do do Inter, solicita tokens para autorizar transações para terceiros. Foi isso que me fez correr do Inter, que autoriza tudo com a maldita senha do cartão.
Dhawny
Bom Alex, faz muito tempo que nem sequer acesso o banco, então pelo que você diz, mudaram os planos deles, na época que era Agipag ainda, nem cartão de débito tinha, se você fosse fazer uma transferência eles avisavam que era 1 de 3 ou 1 de 4, grátis, que tinha por mês e quando questionados diziam para desconsiderar a mensagem, que por enquanto não iriam cobrar nada.O Inter tem esse negócio de 48h para compensar um boleto de depósito para trabalharem com seu dinheiro nesse tempo, acredito eu.Quanto a você trabalhar lá, nem de longe pensei isso.
Vitor Hugo
Mas a criptografia não é de ponta-a-ponta? Mesmo que um roteador malicioso ou qualquer outra coisa intercepte e leia as mensagens, não deveria conseguir entendê-las.
Thiago
Investe utilizando a monetus ou magnetis, melhor do que fazer investimento por banco
Thiago
O banco vai tomar um baita de um processo se de fato for verdade o vazamento. Tirando que os clientes vão pular fora rapidinho.
Geberson Lemes Assis
Pelo sim, pelo não, meus tostões acabaram de ser transferidos para outro banco...
Thiago
Estou aguardando pra ver o desfecho, mas que está esquisito esse história está. Agora fico me perguntando tem de ser muito burro pra dizer que não aconteceu nada, pra logo depois dizer então na verdade fomos comprometidos sim e a matéria do Tecnomundo estava correta.Se isso acontecer melhor eles terem um departamento de RP muito dos bons, pois se não...
Thiago
provas "concretas"
Alex Anunciato
Eu não tenho porque ficar defendendo banco em redes sociais mas vamos lá:Tirei agora do site:"Com a conta do Agibank, o número do seu celular é o número da sua conta. Você paga, recebe, cobra, investe e acompanha todas suas transações com pacote gratuito". Fonte: http://agibank.com.brSobre o que você citou "duas transferências por mês" Eu não vi esta limitação na conta PF mas, mesmo se houvesse, continuaria oferecendo serviços gratuitos em um pacote oferecido, certo? E já usei inúmeras vezes sem problemas.Ele é o único que permite transferência de valores como 0,01 (centavo). Eu fiz de teste algumas vezes. Entrei com dados incorretos e o sistema extornou, ou seja, debitou e devolveu na mesma hora. E ele compensa recarga de crédito em 24hs (via bradesco). O Banco Inter leva 48hs. Tem muito mais vantagens que não citei aqui. Só falta pensarem que trabalho lá, o que não é o caso :)
Thiago
Se realmente tiver ocorrido o vazamento, vai ficar muito feio pro Banco Inter.
Anderson
Tem a muito tempo, começou com o Nubank. Tem que medir as palavras na hora de comentar sobre Fintech, Tim Beta, Apple e importar smartphone da China o ataque vem forte
Anderson
Daqui algum tempo tem uma nota de desculpas do Banco Inter confirmando o que muitos já desconfiam ou tem até certeza,
Victor H.
Não, o nome da raposa é Raposão do Ártico!
Marco Antonio
Ora ora
Hemerson Silva
Metodologicamente falando, vc está correto.
Marcelo Cacimiro
Isso não é censura. É um "nao". Nada impede que uma plataforma aberta exista para este fim.
Marcelo Cacimiro
Não pense que Itaú ou Santander, por exemplo, sejam diferentes. O que fonta é o cacife pra fazer a mídia esconder... Certa vez testei o site do Itaú no SSL Labs e a nota foi C-.
Kodos Otros
Não fale da raposa, ela não está mais entre nós:
Veritas
Obviamente, que a culpa de tudo isto é tua e não do banco!
gicapp
Tem um detalhe importante aí, o Banco Inter usa uma solução de anti-DDoS, (e provavelmente web firewall e CDN) de uma empresa chamada Incapsula. Eles intermediam as conexões entre os servidores do Banco Inter e a internet. Pra isso, eles precisam uma cópia desse certificado na infra deles. Se eu tivesse que apostar onde foi a falha, eu diria que foi na Incapsula, teoricamente permitiria coletar todos esses dados vazados (menos as chaves da Amazon, daí eu teria que apostar numa falha humana ou mesmo engenharia social, salvo se eles transferiram via web essas chaves em algum momento, o que seria meio absurdo).
Diego F. Duarte
Q interessante... Olha so...
Fernando Val
Que banco tem credibilidade?A questão é que há um cânion de diferença de "não acreditar e desconfiar" para "afirmar que foi completamente hackeado".Reflita.
Caleb Enyawbruce
Eu nunca vi isso na prática. Na minha opiniao a "revolta" foi a mesma nos casos anteriores. Agora o caso é especificamente do Inter e eles tem que assumir as consequencias do problema. Como os outros fizeram. Ficar negando é chamar o povo de burro na cara dura. Por isso merece toda revolta mesmo.
Samuel Vieira
O Inter é o melhor, depois dele o next.
Bruno Santos
Exatamente, é esse o meu ponto, ninguém faz alarde quando é banco tradicional
Caleb Enyawbruce
http://lmgtfy.com/?q=notici...
Exibir mais comentários