O banco de dados de clientes vazado acabou expondo informações pessoais e alguns detalhes financeiros de alguns milhares de clientes
O Banco Pan, controlado pelo BTG Pactual, confirmou no dia 15/04/2022 que detectou “fragilidade” na plataforma de um fornecedor de tecnologia, utilizada na Central de Atendimento a clientes do segmento de cartões, o que permitiu o vazamento de informações de clientes.
O banco de dados de clientes vazado acabou expondo informações pessoais e alguns detalhes financeiros de alguns milhares de clientes. De acordo com as informações preliminares, estariam disponíveis dados cadastrais como nomes completos, endereços, CPFs, datas de nascimento e endereço, assim como informações sobre os limites disponíveis em cartões de crédito e saldos devedores de faturas.
De acordo com a denúncia, 22 milhões de contas foram comprometidas, porém a informação foi desmentida pelo PAN, que garante ter cerca de 17 milhões de clientes ativos, segundo o mais recente relatório fiscal do banco, referente ao 4º trimestre de 2021.
Seriam pelo menos 64 mil clientes atingidos pelo vazamento — esse total corresponde a uma amostra enviada pelos criminosos como comprovação da posse dos dados.
Enquanto confirma um incidente cibernético, o Banco Pan afirma que não houve indisponibilidade de seus sistemas ou invasão à infraestrutura própria, com a vulnerabilidade que levou à obtenção dos dados publicados já tendo sido corrigida.
Ainda de acordo com a assessoria de imprensa da instituição, não existe risco financeiro direto para os clientes atingidos pelo vazamento, já que dados financeiros sensíveis ou senhas não foram expostas como parte do comprometimento. Enquanto a empresa ainda não fala no número específico de atingidos, afirma que a apuração sobre o caso já está em andamento.
Confira a nota na íntegra:
Detectamos recentemente uma fragilidade na plataforma de um fornecedor de tecnologia, utilizada na Central de Atendimento a clientes do segmento de cartões. Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa.
De acordo com a apuração em curso, já foi possível constatar que não houve comprometimento de conta corrente, indisponibilidade de sistema, ou invasão à infraestrutura do Banco, tendo sido confirmado, no entanto, que a exploração da vulnerabilidade permitiu a cópia não autorizada de dados cadastrais, de limite disponível de cartão saldo devedor de fatura, sem que tenham sido expostos números completos de cartão, senhas ou qualquer dado que incorra em risco financeiro direto para o cliente e para o Banco.
Uso de senhas inseguras teria levado o ataque
Segundo denúncia apurada pelo canal Tecmundo o atacante descreveu como fez para conseguir o acesso não-autorizado:
“O banco utiliza credenciais impotentes e simples para controlar todas as contas de e-mail responsáveis por processar as informações dos clientes, como registrar novas contas, responder tickets etc”, explicou.
“Com uma senha válida obtida, foi feita uma listagem de todos os emails públicos de funcionários, e com um ataque de password spray (nota da redação: ataque que tenta acessar um grande número de contas de usuário com algumas senhas comumente usadas.) foi possível comprometer muitas contas que tinham acessos ascendidos a dados dos clientes”.
Por fim, um script foi usado para enviar requisições autenticadas, a partir das contas comprometidas, e salvar arquivos de texto com as informações dos usuários, levando ao total de contas citado pela reportagem.
“O script era simples, apenas utilizava um cookie válido para enviar requests autenticadas para a API e salvava o resultado em um arquivo de texto.
Por fim, o atacante alegou que enviou um relatório ao CSIRT (Grupo de Resposta a Incidentes de Segurança) do Banco PAN explicando a invasão em detalhes.
O Banco Pan estaria sendo alvo de extorsão, com os criminosos pedindo valores não revelados para que o volume completo de informações dos clientes não seja publicado. A instituição não confirmou tal situação, enquanto detalhes sobre as supostas exigências também não foram revelados.
O que diz a LGPD em caso de vazamento de dados?
A LGPD, mais especificamente em seu artigo 42 estabelece que:
Reparação de danos do Titular de Dados Pessoais
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Investigação sobre o caso
A Polícia Civil de Minas Gerais (PCMG) cumpriu mandados de busca e apreensão, na manhã do dia 25/04/2022, em São João Del-Rei, na residência de um dos suspeitos de invadir a base de dados do Banco Pan, roubar informações dos clientes e exigir pagamentos das vítimas mediante extorsão.
As diligências foram cumpridas em atendimento a uma ordem judicial após uma investigação – ainda em curso – coordenada pelo Departamento Estadual de Investigações Criminais (Deic) da Polícia Civil do Estado de São Paulo, onde o inquérito está em trâmite.
Na casa dele, os policiais apreenderam equipamentos de informática e celulares, que serão periciados pelo Deic, em São Paulo, informou o delegado regional Luiz Carlos Ferreira Pires.
Conduzido à delegacia do município ainda pela manhã, o indivíduo foi ouvido e liberado. “Nós identificamos o elemento aqui na cidade após realizarmos algumas diligências. A Polícia Civil de São Paulo solicitou um mandado de busca e apreensão. Com a autorização da Justiça, hoje foi dado o cumprimento. Por meio dessa análise [a perícia nos equipamentos], vamos identificar o grau de envolvimento desse integrante da organização”, explicou o delegado.
Lembrando que a missão da ANPPD® – Associação Nacional dos Profissionais de Privacidade de Dados é a de ser a “voz” dos acadêmicos e profissionais de Privacidade de Dados perante a sociedade brasileira. Incentivar o entendimento e discussão sobre a Privacidade de dados, a lei e o papel dos agentes da privacidade de dados. Atuar nas matérias conflitantes da lei buscando sua melhoria.
Fonte: ANPPD
Vazamento de dados da Samsung destaca APIs como um alvo prioritário para os cibercriminosos
Banco Central comunica vazamento de dados pessoais de 160 mil chaves Pix
Cadastre-se para receber o IDNews
E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!