Diferentes brechas de segurança encontradas nos sites do Banco do
Brasil, do Bradesco, do serviço de pagamentos Moip e da Boa Vista Serviços
(administradora do cadastro de devedores SCPC) expuseram recentemente dados
privados de milhões de pessoas.
Os problemas foram descobertos
pelo analista de sistemas Carlos Eduardo Santiago, 21, que os demonstrou à Folha após ter sido ignorado pelas empresas.
"Ao Moip, à Boa Vista e ao Bradesco, relatei as questões há cerca de um
ano."
"Descobri o erro do Banco do Brasil no dia 8, mesma data de
quando avisei a empresa por meio do SAC, mas fui ignorado. Decidi, então,
verificar as outras falhas, e elas ainda existiam", conta.
A seção de seguros residenciais
da agência virtual do Banco do Brasil permitia, até a quinta-feira passada, que
qualquer pessoa com acesso à área (cliente segurado pelo banco ou em posse
desses dados) visualizasse CPF, nome, endereço, telefone, e-mail, agência e
número da conta de outro segurado, por meio de uma simples alteração no código,
que pode ser visualizado com qualquer navegador moderno --não demanda
ferramenta ou conhecimento avançados.
Segundo Santiago, o número de
clientes do Banco do Brasil que foram expostos pelo erro é de 1,85 milhão,
estimativa com base na sequência do código dos documentos disponíveis durante
pelo menos duas semanas.
Contatada pela Folha na quinta, a companhia solucionou a
falha no mesmo dia.
Por meio de sua assessoria de
imprensa, o Banco do Brasil disse que "o problema não teve associação com
qualquer tipo de transação financeira" e que, por isso, "não trouxe
risco para os clientes."
Um grande número de boletos
bancários gerados pelo Bradesco está visível e expõe informações de clientes do
banco, como CPF, nome, endereço, agência e número da conta, além do valor e do
estabelecimento do pagamento em questão.
Consultada, a companhia disse
que esse sistema "é utilizado há mais de dez anos e o banco nunca
registrou fraude ou problema de clientes."
A brecha permite que os
documentos sejam encontrados até por meio de uma pesquisa no Google e consiste
em uma URL aberta (um link de internet desprotegido). Falha semelhante foi
verificada no site do Moip, que presta serviços de pagamento on-line para
diversas empresas, e permitia ver o mesmo tipo de dado.
O link desprotegido, que é
hospedado pelo Moip, continua disponível, mas a empresa diz não ter
responsabilidade sobre ele. "As URLs dos boletos em questão foram
disponibilizadas pelos próprios vendedores em seus sites."
Em sua página, a companhia diz
processar 300 mil transações virtuais por mês.
DÉBITO À VISTA
A seção de consulta a débitos
do site da Boa Vista serviços, responsável pelo SCPC, permitia até a quinta
passada (quando o erro foi corrigido, após o contato) que fossem visualizadas
as dívidas relacionadas a um CPF. Segundo a empresa, cerca de 2,5 milhões de
pessoas estão catalogadas no sistema.
*
OUTRO LADO: BANCO DO
BRASIL
"O Banco do Brasil
corrigiu imediatamente falha pontual restrita às consultas de propostas de
Seguro Residencial. O problema não teve associação com qualquer tipo de
transação financeira. Portanto, não trouxe riscos para clientes. O BB avalia
que o problema decorreu de atualizações constantes que visam o aprimoramento
dos sites. Por fim, o BB informa que revisa periodicamente procedimentos de
controles de qualidade, a fim de reduzir os riscos operacionais. Além disso, o
Banco segue normativos internacionais que tratam de segurança de TI em
bancos."
OUTRO LADO: BRADESCO
"O Bradesco
esclarece que trata-se de uma URL [link] válida do comércio eletrônico do
banco. A mesma não representa falha e nem vulnerabilidade, pois não é possível
alterar os dados do boleto, porém permite que a loja conveniada ao banco mande
a URL para que o comprador gere o boleto para pagamento. Por ser uma URL é
passível de aparecer no Google como qualquer outra página. O fato de mexer no
MerchantId e OrderId [parâmetros que, se alterados, exibem outros documentos] e
aparecer outros boletos gerados também não implicam em falha ou fraude, pois
não é possível alterar o status da compra ou disponibilizar informações que
sejam sigilosas. A URL é segura e utiliza o protocolo de segurança SSL,
autenticado com certificado digital válido, atendendo as melhores práticas de
segurança. Vale salientar que esta solução está disponível neste formato há
mais de 10 anos e o Banco nunca registrou fraude ou problemas junto aos
clientes."
OUTRO LADO: BOA VISTA
SERVIÇOS/SCPC
"O serviço de
autoconsulta de CPF é oferecido gratuitamente para que o consumidor consulte
sua situação. Temos cerca de 2,5 milhões de usuários cadastrados. A aplicação é
separada dos outros ambientes de negócios da Boa Vista --isso é um ponto
importante. Além disso, a consulta é bem limitada.
Ela, como uma aplicação
que tem o seu público amplo, é desenhada com termos de uso. O consumidor deve
consultar o seu CPF, e não o de outras pessoas.
Identificamos isso, mas
já bloqueamos aquele caminho. É um caminho técnico e que o usuário comum do
portal não faria, porque precisa de um conhecimento para abrir linhas de
código. Já está bloqueado."
OUTRO LADO: MOIP
"O Moip vem a
público esclarecer a questão sobre os boletos indexados pelo buscador Google. O
Moip não divulga, transmite ou publica qualquer informação de seus clientes,
tampouco permite a indexação de dados particulares nos buscadores da internet.
Todos os boletos gerados a partir das soluções do Moip são automaticamente
retiradas de qualquer indexação deste ou qualquer outro buscador. As URLs dos
boletos em questão foram disponibilizados pelos próprios vendedores em seus
sites, permitindo assim suas indexações pelo Google.
Já entramos em contato
com a equipe técnica do Google para o impedimento de novas indexações futuras,
ainda que publicadas por terceiros."
Nenhum comentário:
Postar um comentário