INCIDENTE

Banco PAN tem vazamento de dados

18/04/2022 12:15

Fragilidade em plataforma teria afetado pelo menos 64 mil clientes do segmento de cartões.

Jojo Todynho, garota propaganda do PAN. Foto: divulgação.

Tamanho da fonte: -A+A

O Banco PAN, controlado pela BTG Pactual, sofreu um vazamento de dados na madrugada da última sexta-feira, 15, e estaria passando por uma tentativa de extorsão para que as informações não sejam publicadas.

Segundo o site TecMundo, um documento de amostra de 1 GB foi enviado à publicação com as informações de conta de cerca de 64 mil clientes, extraídas entre os dias 1° de março e 20 de março de 2022. O arquivo completo supostamente teria 25 GB, mas não foi enviado.

A denúncia anônima afirma que, no total, seriam 22 milhões de contas comprometidas, enquanto a assessoria de imprensa do banco declara que o número é falso.

Entre as informações mostradas no documento, estão nome completo, CPF, data de nascimento, endereço residencial, informações sobre cartões de crédito e número da conta mascaradas, saldo devedor e valor da fatura.

Uma segunda fonte anônima que abordou o TecMundo comentou sobre uma tentativa de extorsão para que a divulgação dos dados não ocorra. Segundo o CISO advisor, as negociações teriam sido iniciadas uma semana atrás.

Sem citar nomes, o PAN admitiu que detectou “uma fragilidade na plataforma de um fornecedor de tecnologia”, utilizada na central de atendimento a clientes do segmento de cartões. 

“Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa”, informou o banco em nota.

A instituição confirmou que a exploração dessa vulnerabilidade permitiu a cópia não autorizada de dados cadastrais, de limite disponível e saldo devedor, o que inclui nome, CPF, nascimento, endereço, número da conta, saldo e valor da fatura.

No entanto, não teriam sido expostos dados completos de cartão, senhas ou qualquer dado que cause risco financeiro. O PAN também garante que não houve comprometimento de conta corrente, indisponibilidade de sistema ou invasão à infraestrutura do banco.

Segundo a instituição, todas as autoridades competentes foram notificadas e já investigam o acesso não-autorizado.

De acordo com o relato do cibercriminoso, publicado pelo TecMundo, o banco utiliza credenciais impotentes e simples para controlar todas as contas de e-mail responsáveis por processar as informações dos clientes, como registrar novas contas e responder tickets. 

“Com uma senha válida obtida, foi feita uma listagem de todos os emails públicos de funcionários e, com um ataque de password spray, foi possível comprometer muitas contas que tinham acessos ascendidos a dados dos clientes”, detalha a fonte.

O atacante afirma que iniciou um processo de identificação da API de onde os dados eram extraídos para o sistema de e-mail e desenvolveu um script para extrair informações dos clientes.

“O script era simples, apenas utilizava um cookie válido para enviar requests autenticadas para a API e salvava o resultado em um arquivo de texto”, informa o relato.

Ainda de acordo com a publicação, o invasor disse que enviou um relatório ao CSIRT do Banco PAN, um grupo técnico responsável por resolver incidentes relacionados à segurança, com todos os detalhes de como o ataque foi coordenado, contando com CWE e CVSS de criticidade calculado.

Fundado em 2011, o PAN é controlado pelo Banco BTG Pactual S.A. e pela Caixa Participações S.A. (CAIXAPAR), possuindo um patrimônio líquido de R$ 5,7 bilhões. 

Com 3,1 mil colaboradores, atua com foco em crédito consignado, financiamento de veículos usados e motos novas, além da conta corrente digital, cartões de crédito e venda de seguros. 

O PAN gere uma carteira de 17,1 milhões de clientes e está presente em todo o território nacional, operando com uma rede de 18 mil lojas e concessionárias parceiras e mais de 827 correspondentes bancários, além de mais de 60 pontos de atendimento próprios.

Veja também

SEGURANÇA
Microsoft sofre ataque cibernético

A companhia confirmou o vazamento dos códigos-fonte de tecnologias como Bing e Cortana.

PRIVACIDADE
Vazamento de dados não dá nada

Direito a indenização só com prejuízo comprovado, decide o TJ de São Paulo.

EXCLUSIVO
EMS sofre ataque hacker

Mais uma grande empresa brasileira tem problemas de segurança.

DADOS
“Vazamentos no Pix não são tão relevantes”

A afirmação é de Roberto Neto, presidente do Banco Central.

FAÇANHAS
Governo do RS sofre ataque cibernético

Autoria foi reivindicada pelo grupo Paraná Cyber Mafia, mesmo que atacou a Bahia recentemente.

SEGURANÇA
LogBank: vazam mais de 2 mil chaves Pix

A fintech foi comprada pelo Grupo Stefanini em 2020 e faz parte da Orbitall.