Início » Antivírus e Segurança » Falha em servidor expõe 250 GB em dados bancários

Falha em servidor expõe 250 GB em dados bancários

A exposição de documentos bancários digitalizados envolve, principalmente, clientes do Banco Pan

Victor Hugo Silva Por

Um servidor sem a segurança adequada colocou em risco cerca de 250 GB de documentos digitalizados por diversos bancos brasileiros. A informação foi divulgada pela The Hack, após notificação do Data Group, uma equipe de pesquisadores que analisa a vulnerabilidade de sistemas industriais.

Segundo a reportagem, a maior parte do conteúdo exposto no servidor pertence a clientes do Banco Pan (antigo PanAmericano). O material inclui documentos de identificação, como RG, CPF e CNH, além de comprovantes de endereços e contratos.

Os arquivos também envolvem ordens de pagamento, demonstrativos, holerites, contracheques e até cartões de crédito dos clientes. A The Hack informou que, devido à quantidade de arquivos, não foi possível apontar a quantidade de clientes afetados.

Para se ter uma ideia do incidente, o material possui cerca de 1 milhão de arquivos, de acordo com o Data Group. O dado, no entanto, não tem relação com o número de clientes, já que há mais de um documento por conta.

Os pesquisadores encontraram documentos digitalizados de aposentados, pensionistas, militares e servidores públicos. Eles acreditam que ambiente vulnerável pertence a um correspondente bancário que atende exclusivamente a esse grupo. Além do Banco Pan, há dados de outras três instituições financeiras com foco no mesmo público.

A partir dos documentos, foi possível ter detalhes sobre a renda dos clientes com salários ou auxílios, além de suas movimentações bancárias. O material também apresenta extratos gerados em internet banking que, possivelmente, foram usados como comprovantes de rendimentos.

A The Hack afirma que os documentos estavam armazenados em um bucket do Simple Storage Service (S3), um serviço de armazenamento na nuvem da Amazon. A exposição aconteceu porque o servidor estava configurado como público, o que permitia o acesso de um usuário não-autenticado.

De acordo com a reportagem, o servidor ficou inacessível e não há sinais de que os arquivos tenham circulado na internet.

O Tecnoblog procurou o Banco Pan, mas não obteve resposta. À The Hack, a empresa informou não ter registrado qualquer invasão. O banco afirmou ainda que o servidor pertence a um parceiro que não teve o nome revelado.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Adilson Pereira da Silva

Como correntista corajoso, pensei a mesma coisa...

Gabriel Arruda

Sim, tinha todas as formas de mitigar isso, mas isso é justamente cagada de funcionário como eu disse...algumas vezes por ignorância e outras por preguiça também (afinal, bem mais de boas acessar os dados de qualquer rede/computador).

Não estou falando que é melhor deixar on premise por causa disso, só que essas empresas média, com governança meio capenga, tem tudo para cometer umas cagadas dessas.

O ideal é elas cuidarem melhor da TI deles e aproveitar as vantagens da cloud sem perder em segurança.

edjalma pereira junior

a falha na verdade foi na configuracao do bucket da s3
o sistema arquivum.com que é similar criptografa os dados ate no lado do servidor la nao teria esse problema é o bucket é privado e nao publico
[email protected]

PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

"se chover fodeu...."

PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

Mesmo assim, crie um ambiente na Amazon, a sua VPC por padrão está fechada para acesso externo, os modelos já prontos que a Amazon oferece exigem VPN pra acesso às máquinas, o que o cara fez nesse caso foi usar o análogo a um OneDrive.... on premises é caro em termos de infra, depreciação, pessoal envolvido, etc.

Keaton

RIP

Felipe Liʍa

Vale lembrar que o PAN nao e tão digital assim...

Gabriel Arruda

A maior segurança de "on premise" dos bancos vêm do fato deles não estarem disponíveis fora de rede do banco e, portanto, menos vulnerável a cagadas de funcionários.

No final, todos esses casos é funcionário fazendo merda de perder chave ou deixar acesso público...então acaba sendo mais seguro por ser um bloqueio contra incompetência da TI.

Everton Luiz Bastiani

".... olha.. esse negócio de nuvem.. vou te falar.. não sei não .. eu tenho minhas dúvidas ...." Dilma Russef

PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

Quanta besteira.... a Amazon é um dos melhores e mais seguros serviços que existe, a infra envolvida é MUITO mais amadurecida do que qquer empresa de TI ou infra própria, há centenas de serviços especializados para serem usados que não seriam construídos em nenhuma empresa.
A CAGADA foi de quem configurou errado, ou não configurou, usou tudo como padrão, servidores locais, on premises, poderiam ter o mesmo problema. Você é daqueles que MERECE pagar tarifa alta de banco pra sustentar mainframe em COBOL... e saiba que os maiores bancos estão indo pra nuvem tb... ou usam serviços de segurança e de terceiros (vide Warsaw e detecção de invasão) baseados em nuvem...

PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

"Falha de quem configurou o servidor expõe 250 GB em dados bancários", provavelmente foi o sobrinho do presidente do banco...

Robson Ramos

O Titulo da Mensagem deveria ser "Falha básica de configuração, expõe 250 GB em dados bancários". Não existe problema no servidor e nem na empresa que fornece o serviço de nuvem.

Anderson Pimentel

São as cópias dos documentos, não os números. Alguém pode usar isso pra pegar empréstimos ou abrir contas, por exemplo, no nome dessas pessoas.

Pierre Diniz

Que estranho ver uma falha em banco que não é do Inter...

/bait

mbmelo

Pra quem coloca cpf na nota do Carrefour e da Araújo vai reclamar de um rg??. Se até o registro.br expõe seus dados no site pra quem quiser.. besteira!!!

Exibir mais comentários