Uma das grandes dúvidas que ainda existem em relação aos bancos digitais e cartões de crédito gerenciados por aplicativo é sobre a segurança dos dados dos clientes, que depende de um grande esforço das instituições para não caírem em mãos erradas.
E quando algo do tipo acontece, se perde um pedacinho da credibilidade do meio digital.
Foi o que aconteceu com alguns bancos digitais: segundo artigo do site The Hack, mais de 250GB de documentos digitalizados de clientes foram expostos em um servidor mal configurado.
São imagens de CPF, RG, CNH, comprovantes de residência, holerites, contratos, ordens de pagamento e até mesmo informações de cartão de crédito.
Com essas informações, criminosos poderiam abrir contas laranjas ou até mesmo golpes por e-mail no estilo phishing.
Instituições afetadas
O mais atingido foi o Banco PAN, mas segundo os que analisaram parte do material, outras instituições também foram afetadas (ainda não se tem conhecimento de quais seriam). O que se sabe é que todas as instituições envolvidas são especializadas no público de empréstimos consignados, como aposentados, militares, pensionistas ou servidores públicos.
Posicionamento do Banco PAN
Em resposta ao Tecnograna, o Banco PAN esclarece que a captura de documentos para aprovação de contas, cartões e empréstimos é efetuada por uma empresa terceirizada, que é a real proprietária do servidor.
O Banco [PAN] informa que o ambiente mencionado não é de sua propriedade e que, após criteriosa análise nos seus sistemas de segurança acompanhada por consultoria independente, ficou evidenciado que o servidor não é de propriedade do PAN e que não foi constatada qualquer invasão na infraestrutura do Banco.
Na atuação com parceiros comerciais são capturados dados cadastrais de potenciais clientes por tais parceiros, antes da efetiva formalização de uma operação com o Banco, que adota as medidas cabíveis caso identificado qualquer tipo de uso indevido dessas informações.
Ratifica que a segurança da informação é uma de suas prioridades, alinhada com as melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores.
Em compromisso com a sociedade, segue à disposição para colaborar com a apuração dos fatos.“
Como aconteceu o vazamento
Toda a culpa foi de uma falha na configuração do servidor, que estava ajustado para acesso público. Ou seja, todos os dados poderiam ser baixados por qualquer pessoa na internet.
Portanto, não seria nem mesmo necessário haver uma “invasão”: qualquer um poderia baixar os arquivos.
É sempre bom salientar que o servidor mal configurado era em um serviço de armazenamento na nuvem na Amazon (um bucket do Simple Storage Service, S3) de um parceiro comercial de diversas instituições. Portanto, algo completamente separado do sistema próprio do banco, e por esta razão nenhuma conta efetivamente correu risco; apenas os documentos localizados neste servidor específico é que ficaram expostos.
O site The Hack promete publicar em breve mais informações sobre as outras instituições envolvidas. Eles afirmam que a quantidade de documentos é tão gigantesca e desorganizada, que fica difícil de início saber quais outros bancos possuem informações no servidor.