Falha em servidor expõe 250 GB em dados bancários

A exposição de documentos bancários digitalizados envolve, principalmente, clientes do Banco Pan

Victor Hugo Silva
Por
• Atualizado há 2 anos e 4 meses

Um servidor sem a segurança adequada colocou em risco cerca de 250 GB de documentos digitalizados por diversos bancos brasileiros. A informação foi divulgada pela The Hack, após notificação do Data Group, uma equipe de pesquisadores que analisa a vulnerabilidade de sistemas industriais.

Segundo a reportagem, a maior parte do conteúdo exposto no servidor pertence a clientes do Banco Pan (antigo PanAmericano). O material inclui documentos de identificação, como RG, CPF e CNH, além de comprovantes de endereços e contratos.

Os arquivos também envolvem ordens de pagamento, demonstrativos, holerites, contracheques e até cartões de crédito dos clientes. A The Hack informou que, devido à quantidade de arquivos, não foi possível apontar a quantidade de clientes afetados.

Para se ter uma ideia do incidente, o material possui cerca de 1 milhão de arquivos, de acordo com o Data Group. O dado, no entanto, não tem relação com o número de clientes, já que há mais de um documento por conta.

Os pesquisadores encontraram documentos digitalizados de aposentados, pensionistas, militares e servidores públicos. Eles acreditam que ambiente vulnerável pertence a um correspondente bancário que atende exclusivamente a esse grupo. Além do Banco Pan, há dados de outras três instituições financeiras com foco no mesmo público.

A partir dos documentos, foi possível ter detalhes sobre a renda dos clientes com salários ou auxílios, além de suas movimentações bancárias. O material também apresenta extratos gerados em internet banking que, possivelmente, foram usados como comprovantes de rendimentos.

A The Hack afirma que os documentos estavam armazenados em um bucket do Simple Storage Service (S3), um serviço de armazenamento na nuvem da Amazon. A exposição aconteceu porque o servidor estava configurado como público, o que permitia o acesso de um usuário não-autenticado.

De acordo com a reportagem, o servidor ficou inacessível e não há sinais de que os arquivos tenham circulado na internet.

O Tecnoblog procurou o Banco Pan, mas não obteve resposta. À The Hack, a empresa informou não ter registrado qualquer invasão. O banco afirmou ainda que o servidor pertence a um parceiro que não teve o nome revelado.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Victor Hugo Silva

Victor Hugo Silva

Ex-autor

Victor Hugo Silva é formado em jornalismo, mas começou sua carreira em tecnologia como desenvolvedor front-end, fazendo programação de sites institucionais. Neste escopo, adquiriu conhecimento em HTML, CSS, PHP e MySQL. Como repórter, tem passagem pelo iG e pelo G1, o portal de notícias da Globo. No Tecnoblog, foi autor, escrevendo sobre eletrônicos, redes sociais e negócios, entre 2018 e 2021.

Relacionados

Por que HTTPS não quer dizer “site seguro”
Por que HTTPS não quer dizer “site seguro”
Exclusivo: Falha de segurança na FGV expõe dados de candidatos, ex-alunos e funcionários
Exclusivo: Falha de segurança na FGV expõe dados de candidatos, ex-alunos e funcionários
Os perigos de usar uma VPN ou proxy gratuitos
Os perigos de usar uma VPN ou proxy gratuitos
Como saber se um boleto bancário é falso [Golpe]
Como saber se um boleto bancário é falso [Golpe]
O que é um ataque DDoS?
O que é um ataque DDoS?
Dados vinculados a 87 mil chaves Pix da SumUp vazaram
Dados vinculados a 87 mil chaves Pix da SumUp vazaram
O que é DMARC?
O que é DMARC?
Falha de segurança afeta Chrome, Firefox, Edge e mais apps
Falha de segurança afeta Chrome, Firefox, Edge e mais apps
Fatura falsa em nome da Vivo espalha malware que rouba dados bancários
Fatura falsa em nome da Vivo espalha malware que rouba dados bancários
Aplicativos de VPN no iOS “são uma farsa”, diz pesquisador de segurança
Aplicativos de VPN no iOS “são uma farsa”, diz pesquisador de segurança