Banco Inter deixa dados de clientes expostos por mais de um ano
Site do Banco Inter mostrava e-mail e CPF de qualquer correntista, abrindo espaço para golpes de phishing direcionados
O Banco Inter deixou informações pessoais de correntistas expostos em seu site por mais de um ano. O Tecnoblog apurou que uma falha na implementação na área logada do internet banking para pessoa jurídica permitia obter nome completo, CPF e e-mail de qualquer cliente da instituição, abrindo espaço para extração de dados em massa e golpes de phishing direcionados. A empresa nega.
Um pesquisador de segurança conta ao Tecnoblog que o problema existia desde, pelo menos, setembro de 2017. De posse de uma conta de pessoa jurídica (Conta Digital PRO) e acesso ao internet banking, era possível obter informações de 1,45 milhão de correntistas do Banco Inter, seja pessoa física ou jurídica.
A brecha foi consertada ainda naquele ano no internet banking para pessoa física, mas a correção não havia sido aplicada no sistema para pessoa jurídica até esta terça-feira (12). “É uma mina de ouro para phishing. Eu entendo terem duas bases de código diferentes, mas não replicar correção de segurança não faz sentido”, conta o pesquisador.
A falha estava na página de transferência de recursos entre clientes do Banco Inter, que preenchia automaticamente os dados do correntista de destino. “Você já tem acesso ao número de conta, banco e agência, ficando muito mais fácil fazer ataques de phishing com os dados minerados. Para piorar, os números de conta são sequenciais, com o dígito verificador tendo uma fórmula conhecida, possibilitando fácil extração”, diz.
É comum que sistemas de internet banking exibam o nome do correntista de destino antes da confirmação da transação, mas sem dados de contato e sem permitir a extração em massa.
O Tecnoblog procurou a assessoria de imprensa do Inter para questionar se o banco tinha ciência do problema e se havia previsão para correção. A empresa não respondeu. Em nota, se limitou a dizer que “possui todas as políticas de segurança necessárias e está em conformidade com as melhores práticas de mercado”. Após o contato, a falha foi corrigida.
Atualização em 15 de fevereiro às 14h14
Em resposta aos questionamentos dos clientes, o Banco Inter se pronunciou no Twitter:
“O Banco Inter assegura que não houve vazamento ou exposição de dados dos correntistas, conforme matéria publicada pelo canal Tecnoblog no dia 13 de fevereiro. Para nós a segurança é prioridade. Mantemos regras rígidas para resguardar o sigilo das informações e as operações dos nossos clientes. Trabalhamos com diferentes inteligências de autenticação e temos registros de todas as transações. Além disso, nossos processos internos são constantemente revistos com estudos e a implantação de novas tecnologias para reforçar a proteção da sua conta”.
O Tecnoblog mantém todas as informações que foram apuradas durante a produção desta notícia.
Banco Inter já enfrentou vazamento de dados em 2018
Em 2018, uma investigação do Ministério Público do Distrito Federal e Territórios (MPDFT) concluiu que o Banco Inter vazou dados pessoais de 19.961 correntistas. Na ocasião, informações como senha, código de segurança (CVV), e-mail, telefone e endereço, bem como CPF, RG, CNH, declaração de imposto de renda e fotos de cheques para compensação, haviam sido expostos na internet. A chave de criptografia privada do banco também vazou e foi revogada.
No início, a empresa declarou que “não houve invasão e tampouco comprometimento dos sistemas de segurança”. Em comunicado ao mercado, afirmou que a notícia do vazamento era “inverídica, com conteúdo técnico questionável e impreciso, publicada com o objetivo exclusivo de prejudicar a reputação do banco”. Também condenou a divulgação de “notícias falsas ou fatos verdadeiros truncados ou deturpados a respeito de instituição financeira”.
Com o passar do tempo, o Banco Inter acabou confessando que sofreu um incidente de segurança após a migração dos sistemas de tecnologia da informação para a nuvem. O processo foi encerrado em dezembro, após o banco fechar um acordo extrajudicial de R$ 1,5 milhão.
Leia | Como bloquear o cartão do Banco Inter em caso de perda ou roubo