O site The Hack acaba de divulgar um possível maior vazamento de dados bancários de 2019
O vazamento envolve quatro instituições financeiras distintas. Cerca de 250 GB de dados bancários de brasileiros ficaram expostos na internet, sem segurança e com acesso para qualquer um. Nesses arquivos continham documentos digitalizados de clientes, contendo documentos pessoais (RG, CPF, CNH), comprovantes de endereço, contratos, ordens de pagamentos, demonstrativos, contracheques e até dados de cartões de crédito, constituindo um perfil completo de clientes aparentemente ligados a um correspondente bancário focado em aposentados, pensionistas, militares e servidores públicos.
Uma pessoa má intencionada, usando os dados disponíveis destes clientes como contracheques, comprovantes de pagamentos e demais demonstrativos disponíveis, consegue facilmente criar um perfil falso, com direito a renda mensal e movimentações, para a realização de golpes e compras online.
Estas informações foram publicadas pelo site de notícias The Hack, mas o número total de afetados não pôde ser estimado devido à desorganização dos arquivos. Por outro lado, o site aponta quatro instituições bancárias nacionais como as mais atingidas pelo vazamento, com a maioria correspondendo ao Banco Pan, antigo PanAmericano. A brecha teria ocorrido a partir de um correspondente que trabalha exclusivamente com os públicos citados.
Os documentos vazados se encontravam em um bucket do Simple Storage Service (S3). Trata-se de um serviço de armazenamento em nuvem da Amazon. Contudo, em virtude de uma configuração errônea, o servidor estava público. Com isso, possibilitando o acesso de um usuário não-autenticado para realizar o download dos arquivos armazenados.
Em comunicado, o Pan confirmou que o servidor desprotegido pertence a um parceiro comercial e descartou qualquer invasão em seus sistemas. No texto, a instituição afirma que os dados encontrados teriam sido captados antes da formalização das operações com o banco, o que explica a presença de inúmeros comprovantes e contratos de portabilidade, além de documentos pessoais, entre o conjunto vazado. O Banco ainda informou que o ambiente questionado não é de sua propriedade e que, após análise criteriosa em seus sistemas de segurança, não foi constatada qualquer invasão.
No comunicado, o Banco Pan não informou o correspondente bancário responsável pela brecha. Além disso, o The Hack afirma ter publicado as informações somente após o fechamento dos servidores para acesso indiscriminado, sem que existam indícios de que os dados vazados circularam pela rede, algo que minimiza o risco de tentativas de golpes contra os atingidos.
Fonte: Site The Hack