Vazamento de documentos de clientes de quatro bancos envolveu 250 GB de dados. Foto: Pexels.

Documentos digitalizados de clientes de pelo menos quatro instituições financeiras foram expostos por causa de um servidor desprotegido. O The Hack teve acesso aos dados a partir de um contato do Data Group, organização de pesquisadores brasileiros independentes dedicados a pesquisar vulnerabilidades críticas.

De acordo com o grupo, o vazamento envolveu 250 GB de dados. Os arquivos reúnem versões digitais de documentos pessoais (RG, CPF, CNH), comprovantes de endereço, contratos, ordens de pagamento, demonstrativos, holerites, contracheques e cartões de crédito.

Os documentos estavam em um bucket do Simple Storage Service (S3), serviço de armazenamento em nuvem da Amazon. Uma configuração incorreta deixou o servidor público, o que possibilitou o acesso de um usuário não-autenticado para realizar o download dos arquivos armazenados.

Agora, o servidor está inacessível. De acordo com o The Hack, não há indícios de que os arquivos tenham circulado pela internet.

O site especializado em segurança relata que o ambiente vulnerável pertence, provavelmente, a um correspondente bancário que trabalha exclusivamente com serviços direcionados ao público aposentado, pensionista, militar ou servidor público.

Entre os arquivos vazados há dados de clientes de, no mínimo, quatro instituições, mas a maioria deles pertence ao Banco Pan. O The Hack verificou diversos contratos de portabilidade (ou seja, requisições de transferência de dívidas) de outros bancos para o Pan.

A assessoria de imprensa da empresa confirmou, em nota, que o servidor em questão pertence a um parceiro comercial, sem revelar nomes.

O compartilhamento de documentos com correspondentes bancários é uma prática permitida pelo Banco Central do Brasil (BCB), sendo normatizada pela resolução nº 3.954 de 2011.

 

Confira a nota do Banco Pan:

O Banco informa que o ambiente questionado não é de sua propriedade e que, após análise criteriosa em seus sistemas de segurança, não foi constatada qualquer invasão.

Na atuação com parceiros comerciais são capturados dados cadastrais de potenciais clientes por tais parceiros, antes da efetiva formalização de uma operação com o Banco, que adota as medidas cabíveis caso identificado qualquer tipo de uso indevido dessas informações.

Ratifica que a segurança da informação é uma de suas prioridades, alinhada com as melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores.

Em compromisso com a sociedade, segue à disposição para colaborar com a apuração dos fatos.