Cerca de 250 GB contendo arquivos sensíveis foram encontrados em servidor exposto; "configuração errônea" acabou deixando o banco vulnerável.
Na segunda-feira (22), o The Hack publicou o que pode ser o maior vazamento de dados relacionado a bancos do país em 2019. A vulnerabilidade foi descoberta pelo Data Grupo e comporta 250 GB em arquivos. Num primeiro momento, não foi possível contabilizar a quantidade de clientes afetados.
Foi informado que o dump inclui versões digitais de documentos pessoais como RG, CPF e CNH, mas também contratos, holerites, comprovantes de endereço e mais, como cartões de crédito.
Ao site, foi fornecida uma amostra com aproximadamente 350 MB e cerca de 400 arquivos sensíveis. Foram identificadas, até o momento, quatro empresas diferentes que atuam no ramo financeiro. Dentre elas, a mais afetada foi o Banco Pan.
A respeito deste, foram identificados, inclusive, contratos de portabilidade de outros bancos. A assessoria do banco informa que o ambiente, cuja vulnerabilidade já foi corrigida, “não é de sua propriedade”.
Os dados sigilosos poderiam resultar em crimes de falsificação ideológica ou phishing direcionado, utilizando técnicas de engenharia social. Por outro lado, “não há indícios de que tais arquivos tenham circulado pela internet“, escreve Ramon de Souza, editor-chefe do The Hack.
Pesquisadores da Kaspersky Lab informam que, no primeiro trimestre do ano, houveram 312.235 tentativas de ataques contra usuários únicos. Destes, 58,4% são trojans bancários do malware ‘Asacub’. Os pesquisadores detectaram uma média de 8.200 ataques a usuários por dia.
Este exemplo não faz parte do problema relatado no vazamento de dados das instituições financeiras. Neste caso citado acima, os atacantes miram o usuário final. Mas mostra, também, um foco dos atacantes em modalidades financeiras.
No caso do vazamento divulgado pelo The Hack, “uma configuração errônea” fez com que o servidor ficasse público. Assim, usuários sem autenticação podiam acessá-lo e fazer o download dos arquivos. O servidor em questão fica em um serviço de armazenamento da Amazon (S3 – Simple Storage Service) e é controlado por um correspondente bancário.
Também não foram apontados, até então, possíveis culpados pela configuração que expôs o banco de dados.
Em um relatório publicado em maio, a Kaspersky informa que “cerca de 90% das violações de dados corporativos na nuvem acontecem devido a técnicas de engenharia social contra funcionários da empresa-cliente e não por problemas causados pelo provedor.”
O phishing e engenharia social, segundo a pesquisa, foram responsáveis por 33% dos incidentes relacionados a infraestrutura hospedada por terceiros.
Como relatado pelos pesquisadores de segurança, cerca de 37% das PMEs e 50% das empresas atualmente já usam ou planejam aumentar o uso de serviços de nuvem pública. A pesquisa, em si, foi realizada com base em 7.186 entrevistas, em 24 países e em empresas de tamanhos variados.
Servidores na nuvem são uma ótima opção para agilizar processos, melhorar a infraestrutura de TI, aumentar capacidades e afins. Por outro lado, existem riscos como estes, que podem originar ameaças ainda maiores aos clientes.
Apesar da publicação no início desta semana, o The Hack informa que “ainda está apurando a coleção completa de arquivos e notificando as outras instituições financeiras” envolvidas.
[Atualização: 24/07/2019 às 17h09]
A assessoria do Banco PAN enviou o posicionamento na íntegra sobre o caso ao IT Forum 365. Ele está disponível a seguir:
“O Banco informa que o ambiente mencionado não é de sua propriedade e que, após criteriosa análise nos seus sistemas de segurança acompanhada por consultoria independente, ficou evidenciado que o servidor não é de propriedade do PAN e que não foi constatada qualquer invasão na infraestrutura do Banco.
Na atuação com parceiros comerciais são capturados dados cadastrais de potenciais clientes por tais parceiros, antes da efetiva formalização de uma operação com o Banco, que adota as medidas cabíveis caso identificado qualquer tipo de uso indevido dessas informações.
Ratifica que a segurança da informação é uma de suas prioridades, alinhada com as melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores.
Em compromisso com a sociedade, segue à disposição para colaborar com a apuração dos fatos.“
