Início » Antivírus e Segurança » Banco Inter deixa dados de clientes expostos por mais de um ano

Banco Inter deixa dados de clientes expostos por mais de um ano

Site do Banco Inter mostrava e-mail e CPF de qualquer correntista, abrindo espaço para golpes de phishing direcionados

Paulo Higa Por

O Banco Inter deixou informações pessoais de correntistas expostos em seu site por mais de um ano. O Tecnoblog apurou que uma falha na implementação na área logada do internet banking para pessoa jurídica permitia obter nome completo, CPF e e-mail de qualquer cliente da instituição, abrindo espaço para extração de dados em massa e golpes de phishing direcionados. A empresa nega.

Banco Inter

Um pesquisador de segurança conta ao Tecnoblog que o problema existia desde, pelo menos, setembro de 2017. De posse de uma conta de pessoa jurídica (Conta Digital PRO) e acesso ao internet banking, era possível obter informações de 1,45 milhão de correntistas do Banco Inter, seja pessoa física ou jurídica.

A brecha foi consertada ainda naquele ano no internet banking para pessoa física, mas a correção não havia sido aplicada no sistema para pessoa jurídica até esta terça-feira (12). “É uma mina de ouro para phishing. Eu entendo terem duas bases de código diferentes, mas não replicar correção de segurança não faz sentido”, conta o pesquisador.

Banco Inter

A falha estava na página de transferência de recursos entre clientes do Banco Inter, que preenchia automaticamente os dados do correntista de destino. “Você já tem acesso ao número de conta, banco e agência, ficando muito mais fácil fazer ataques de phishing com os dados minerados. Para piorar, os números de conta são sequenciais, com o dígito verificador tendo uma fórmula conhecida, possibilitando fácil extração”, diz.

É comum que sistemas de internet banking exibam o nome do correntista de destino antes da confirmação da transação, mas sem dados de contato e sem permitir a extração em massa.

O Tecnoblog procurou a assessoria de imprensa do Inter para questionar se o banco tinha ciência do problema e se havia previsão para correção. A empresa não respondeu. Em nota, se limitou a dizer que “possui todas as políticas de segurança necessárias e está em conformidade com as melhores práticas de mercado”. Após o contato, a falha foi corrigida.

Atualização em 15 de fevereiro às 14h14

Em resposta aos questionamentos dos clientes, o Banco Inter se pronunciou no Twitter:

“O Banco Inter assegura que não houve vazamento ou exposição de dados dos correntistas, conforme matéria publicada pelo canal Tecnoblog no dia 13 de fevereiro. Para nós a segurança é prioridade. Mantemos regras rígidas para resguardar o sigilo das informações e as operações dos nossos clientes. Trabalhamos com diferentes inteligências de autenticação e temos registros de todas as transações. Além disso, nossos processos internos são constantemente revistos com estudos e a implantação de novas tecnologias para reforçar a proteção da sua conta”.

O Tecnoblog mantém todas as informações que foram apuradas durante a produção desta notícia.

Banco Inter já enfrentou vazamento de dados em 2018

Banco Inter

Em 2018, uma investigação do Ministério Público do Distrito Federal e Territórios (MPDFT) concluiu que o Banco Inter vazou dados pessoais de 19.961 correntistas. Na ocasião, informações como senha, código de segurança (CVV), e-mail, telefone e endereço, bem como CPF, RG, CNH, declaração de imposto de renda e fotos de cheques para compensação, haviam sido expostos na internet. A chave de criptografia privada do banco também vazou e foi revogada.

No início, a empresa declarou que “não houve invasão e tampouco comprometimento dos sistemas de segurança”. Em comunicado ao mercado, afirmou que a notícia do vazamento era “inverídica, com conteúdo técnico questionável e impreciso, publicada com o objetivo exclusivo de prejudicar a reputação do banco”. Também condenou a divulgação de “notícias falsas ou fatos verdadeiros truncados ou deturpados a respeito de instituição financeira”.

Com o passar do tempo, o Banco Inter acabou confessando que sofreu um incidente de segurança após a migração dos sistemas de tecnologia da informação para a nuvem. O processo foi encerrado em dezembro, após o banco fechar um acordo extrajudicial de R$ 1,5 milhão.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Caio

Obrigado pela ideia, hahahahaha

Crystian Sorato

Aproveita que a TED não tem custo. Abri minha conta no inter hoje. Só não abri antes devido a informação de quebra de sigilo, e to aqui pelo mesmo motivo novamente, não sei se confio ou não. Tenho Nuconta, usei pra depositar uma graninha baixa, mas to em dúvida se deixo pra guardar o dinheiro em um banco já "consolidado"... não sei qual deles escolher também. Tive conta corrente no itaú, só tive um problema de duplo pagamento com cartão no valor de 100R$(poderia ter sido mais), o qual foi resolvido pelo reclame aqui após eu ter percebido olhando o extrato. Vou me livrar pelo custo que se tem pra manter a conta.

PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

Mas diz ali no site PLATAFORMA ABERTA.... tá tudo aberto pra quem quiser... não estão faltando com a verdade....

Thiago Calazans

Eu ainda não uso corretora, fico procrastinando isso, haha. Mas as que eu conheço são a XP Investimentos, Rico e Easynvest.

Thiago Calazans

Todos os mimos são disponibilizados para crédito e apenas alguns para débito, você pode ver no seguinte link: https://next.me/mimos

Mano, eu não gosto do app do Next, então eu prefiro usar Inter e NuConta por não terem taxa (menos o saque da NuConta) e pelos limites de crédito maiores. A vantagem do Next mesmo é ter os mimos e mais uma opção pra poder depositar dinheiro em mãos.

Thiago Calazans

Pode portar normalmente pra NuConta ainda, irmão

Samanadiel

I'm not

Michael dos Santos

Você está paranóico.

Samanadiel

Longe demais?, do jeito que está as coisas, é essencial.

Uso VPN pra tudo nessa internet, menos pra jogar, porque já sabe né.

Fernando Val

Pode ser que isso ocorra quando não couberem mais recursos.

Fernando Val

Eu protocolei reclamação no Banco Central. Mas a tal funcionária continuou trabalhando e fornecendo meus extratos. Pelo visto o Bradesco não tinha um sistema de auditoria que identifique quem faz consultas a contas de clientes. Segurança oh!

Marcos Vinícius

Tá desanimando Inter, pqp.

Henrique Picanço

O seu caso, amigo, me parece um gigantesco ponto fora da curva. Mas ficarei atento sobre novos ocorridos com este banco.

Michael dos Santos

VPN? Você já está indo longe demais.

Bruno Ricci

Fernando, o processo contra o banco eu não sei te dizer, mas com certeza, se vc tivesse reportado esse vazamento para o Bacen (Banco Central) ele já teria notificado o Bradesco e a funcionária teria sido demitida por justa causa, acredite, o banco não se importa em demitir funcionário em casos como esse, sugiro que você procure os orgãos regulatórios

Exibir mais comentários