O Banco PAN, controlado pela BTG Pactual, sofreu um vazamento de dados na madrugada da última sexta-feira, 15, e estaria passando por uma tentativa de extorsão para que as informações não sejam publicadas.

Segundo o site TecMundo, um documento de amostra de 1 GB foi enviado à publicação com as informações de conta de cerca de 64 mil clientes, extraídas entre os dias 1° de março e 20 de março de 2022. O arquivo completo supostamente teria 25 GB, mas não foi enviado.

A denúncia anônima afirma que, no total, seriam 22 milhões de contas comprometidas, enquanto a assessoria de imprensa do banco declara que o número é falso.

Entre as informações mostradas no documento, estão nome completo, CPF, data de nascimento, endereço residencial, informações sobre cartões de crédito e número da conta mascaradas, saldo devedor e valor da fatura.

Uma segunda fonte anônima que abordou o TecMundo comentou sobre uma tentativa de extorsão para que a divulgação dos dados não ocorra. Segundo o CISO advisor, as negociações teriam sido iniciadas uma semana atrás.

Sem citar nomes, o PAN admitiu que detectou “uma fragilidade na plataforma de um fornecedor de tecnologia”, utilizada na central de atendimento a clientes do segmento de cartões. 

“Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa”, informou o banco em nota.

A instituição confirmou que a exploração dessa vulnerabilidade permitiu a cópia não autorizada de dados cadastrais, de limite disponível e saldo devedor, o que inclui nome, CPF, nascimento, endereço, número da conta, saldo e valor da fatura.

No entanto, não teriam sido expostos dados completos de cartão, senhas ou qualquer dado que cause risco financeiro. O PAN também garante que não houve comprometimento de conta corrente, indisponibilidade de sistema ou invasão à infraestrutura do banco.

Segundo a instituição, todas as autoridades competentes foram notificadas e já investigam o acesso não-autorizado.

De acordo com o relato do cibercriminoso, publicado pelo TecMundo, o banco utiliza credenciais impotentes e simples para controlar todas as contas de e-mail responsáveis por processar as informações dos clientes, como registrar novas contas e responder tickets. 

“Com uma senha válida obtida, foi feita uma listagem de todos os emails públicos de funcionários e, com um ataque de password spray, foi possível comprometer muitas contas que tinham acessos ascendidos a dados dos clientes”, detalha a fonte.

O atacante afirma que iniciou um processo de identificação da API de onde os dados eram extraídos para o sistema de e-mail e desenvolveu um script para extrair informações dos clientes.

“O script era simples, apenas utilizava um cookie válido para enviar requests autenticadas para a API e salvava o resultado em um arquivo de texto”, informa o relato.

Ainda de acordo com a publicação, o invasor disse que enviou um relatório ao CSIRT do Banco PAN, um grupo técnico responsável por resolver incidentes relacionados à segurança, com todos os detalhes de como o ataque foi coordenado, contando com CWE e CVSS de criticidade calculado.

Fundado em 2011, o PAN é controlado pelo Banco BTG Pactual S.A. e pela Caixa Participações S.A. (CAIXAPAR), possuindo um patrimônio líquido de R$ 5,7 bilhões. 

Com 3,1 mil colaboradores, atua com foco em crédito consignado, financiamento de veículos usados e motos novas, além da conta corrente digital, cartões de crédito e venda de seguros. 

O PAN gere uma carteira de 17,1 milhões de clientes e está presente em todo o território nacional, operando com uma rede de 18 mil lojas e concessionárias parceiras e mais de 827 correspondentes bancários, além de mais de 60 pontos de atendimento próprios.