Um servidor sem a segurança adequada colocou em risco cerca de 250 GB de documentos digitalizados por diversos bancos brasileiros. A informação foi divulgada pela The Hack, após notificação do Data Group, uma equipe de pesquisadores que analisa a vulnerabilidade de sistemas industriais.
Segundo a reportagem, a maior parte do conteúdo exposto no servidor pertence a clientes do Banco Pan (antigo PanAmericano). O material inclui documentos de identificação, como RG, CPF e CNH, além de comprovantes de endereços e contratos.
Os arquivos também envolvem ordens de pagamento, demonstrativos, holerites, contracheques e até cartões de crédito dos clientes. A The Hack informou que, devido à quantidade de arquivos, não foi possível apontar a quantidade de clientes afetados.
Para se ter uma ideia do incidente, o material possui cerca de 1 milhão de arquivos, de acordo com o Data Group. O dado, no entanto, não tem relação com o número de clientes, já que há mais de um documento por conta.
Os pesquisadores encontraram documentos digitalizados de aposentados, pensionistas, militares e servidores públicos. Eles acreditam que ambiente vulnerável pertence a um correspondente bancário que atende exclusivamente a esse grupo. Além do Banco Pan, há dados de outras três instituições financeiras com foco no mesmo público.
A partir dos documentos, foi possível ter detalhes sobre a renda dos clientes com salários ou auxílios, além de suas movimentações bancárias. O material também apresenta extratos gerados em internet banking que, possivelmente, foram usados como comprovantes de rendimentos.
A The Hack afirma que os documentos estavam armazenados em um bucket do Simple Storage Service (S3), um serviço de armazenamento na nuvem da Amazon. A exposição aconteceu porque o servidor estava configurado como público, o que permitia o acesso de um usuário não-autenticado.
De acordo com a reportagem, o servidor ficou inacessível e não há sinais de que os arquivos tenham circulado na internet.
O Tecnoblog procurou o Banco Pan, mas não obteve resposta. À The Hack, a empresa informou não ter registrado qualquer invasão. O banco afirmou ainda que o servidor pertence a um parceiro que não teve o nome revelado.
Nenhum comentário:
Postar um comentário