Banco Inter deixa dados de clientes expostos por mais de um ano

Site do Banco Inter mostrava e-mail e CPF de qualquer correntista, abrindo espaço para golpes de phishing direcionados

Paulo Higa
Por
• Atualizado há 7 meses
Banco Inter

O Banco Inter deixou informações pessoais de correntistas expostos em seu site por mais de um ano. O Tecnoblog apurou que uma falha na implementação na área logada do internet banking para pessoa jurídica permitia obter nome completo, CPF e e-mail de qualquer cliente da instituição, abrindo espaço para extração de dados em massa e golpes de phishing direcionados. A empresa nega.

Um pesquisador de segurança conta ao Tecnoblog que o problema existia desde, pelo menos, setembro de 2017. De posse de uma conta de pessoa jurídica (Conta Digital PRO) e acesso ao internet banking, era possível obter informações de 1,45 milhão de correntistas do Banco Inter, seja pessoa física ou jurídica.

A brecha foi consertada ainda naquele ano no internet banking para pessoa física, mas a correção não havia sido aplicada no sistema para pessoa jurídica até esta terça-feira (12). “É uma mina de ouro para phishing. Eu entendo terem duas bases de código diferentes, mas não replicar correção de segurança não faz sentido”, conta o pesquisador.

Banco Inter

A falha estava na página de transferência de recursos entre clientes do Banco Inter, que preenchia automaticamente os dados do correntista de destino. “Você já tem acesso ao número de conta, banco e agência, ficando muito mais fácil fazer ataques de phishing com os dados minerados. Para piorar, os números de conta são sequenciais, com o dígito verificador tendo uma fórmula conhecida, possibilitando fácil extração”, diz.

É comum que sistemas de internet banking exibam o nome do correntista de destino antes da confirmação da transação, mas sem dados de contato e sem permitir a extração em massa.

O Tecnoblog procurou a assessoria de imprensa do Inter para questionar se o banco tinha ciência do problema e se havia previsão para correção. A empresa não respondeu. Em nota, se limitou a dizer que “possui todas as políticas de segurança necessárias e está em conformidade com as melhores práticas de mercado”. Após o contato, a falha foi corrigida.

Atualização em 15 de fevereiro às 14h14

Em resposta aos questionamentos dos clientes, o Banco Inter se pronunciou no Twitter:

“O Banco Inter assegura que não houve vazamento ou exposição de dados dos correntistas, conforme matéria publicada pelo canal Tecnoblog no dia 13 de fevereiro. Para nós a segurança é prioridade. Mantemos regras rígidas para resguardar o sigilo das informações e as operações dos nossos clientes. Trabalhamos com diferentes inteligências de autenticação e temos registros de todas as transações. Além disso, nossos processos internos são constantemente revistos com estudos e a implantação de novas tecnologias para reforçar a proteção da sua conta”.

O Tecnoblog mantém todas as informações que foram apuradas durante a produção desta notícia.

Banco Inter já enfrentou vazamento de dados em 2018

Banco Inter

Em 2018, uma investigação do Ministério Público do Distrito Federal e Territórios (MPDFT) concluiu que o Banco Inter vazou dados pessoais de 19.961 correntistas. Na ocasião, informações como senha, código de segurança (CVV), e-mail, telefone e endereço, bem como CPF, RG, CNH, declaração de imposto de renda e fotos de cheques para compensação, haviam sido expostos na internet. A chave de criptografia privada do banco também vazou e foi revogada.

No início, a empresa declarou que “não houve invasão e tampouco comprometimento dos sistemas de segurança”. Em comunicado ao mercado, afirmou que a notícia do vazamento era “inverídica, com conteúdo técnico questionável e impreciso, publicada com o objetivo exclusivo de prejudicar a reputação do banco”. Também condenou a divulgação de “notícias falsas ou fatos verdadeiros truncados ou deturpados a respeito de instituição financeira”.

Com o passar do tempo, o Banco Inter acabou confessando que sofreu um incidente de segurança após a migração dos sistemas de tecnologia da informação para a nuvem. O processo foi encerrado em dezembro, após o banco fechar um acordo extrajudicial de R$ 1,5 milhão.

Receba mais sobre Banco Inter na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Relacionados

Inter Pass é a assinatura do Banco Inter com cashback extra e benefícios
Inter Pass é a assinatura do Banco Inter com cashback extra e benefícios
15 bancos que oferecem contas digitais gratuitas
15 bancos que oferecem contas digitais gratuitas
Inter Cel, operadora do Banco Inter, é relançada em parceria com a Vivo
Inter Cel, operadora do Banco Inter, é relançada em parceria com a Vivo
Inter e Nubank bloqueiam Pix para Binance? Clientes reclamam, mas bancos negam
Inter e Nubank bloqueiam Pix para Binance? Clientes reclamam, mas bancos negam
Como funciona o cashback do banco Inter
Como funciona o cashback do banco Inter
Inter Cel, operadora virtual do Banco Inter, divulga novos planos
Inter Cel, operadora virtual do Banco Inter, divulga novos planos
Como cancelar sua conta do Banco Inter
Como cancelar sua conta do Banco Inter
Clientes da Intercel, do Banco Inter, serão migrados para operadora Mega+
Clientes da Intercel, do Banco Inter, serão migrados para operadora Mega+
Inter Cel, operadora do Banco Inter, muda planos e aumenta pacote de 4G
Inter Cel, operadora do Banco Inter, muda planos e aumenta pacote de 4G
Como abrir uma conta PJ no Banco Inter [Pessoa Jurídica]
Como abrir uma conta PJ no Banco Inter [Pessoa Jurídica]