Após apurar mais uma porção da coleção de 250 GB de documentos expostos graças a uma falha de configuração em um servidor, e com a devida notificação enviada às empresas em questão, a The Hack finalmente pode divulgar o nome das outras instituições que foram afetadas pelo incidente. Se você não leu, vale a pena conferir a reportagem publicada na última segunda-feira (22), na qual demos uma introdução ao caso e explicamos o problema.
Como citado na época, a exposição afetou principalmente o Banco Pan: estimamos que, de todos os arquivos analisados, 90% pertencem ao grupo fundado pelo apresentador Silvio Santos (Senor Abravanel). Porém, uma quantidade generosa de documentos também fazem menção a outras organizações. Uma delas, que corresponde a aproximadamente 5% do material analisado, é o Banco Safra, fundado em 1955 por Jacob Safra.
Tal como ocorreu com o Pan, a maioria dos papéis digitalizados são propostas de portabilidade de operações de crédito e requisições para solicitar informações financeiras de clientes, tendo o Safra como proponente. Tais documentos listam nome completo, RG, CNH, CPF, data de nascimento, filiação e telefone dos clientes, que continuam apresentando o mesmo perfil: aposentados, pensionistas, servidores públicos e militares, todos em busca de crédito consignado ou outros serviços similares.
Embora a The Hack tenha tentado contatar a instituição bancária através de diversos métodos e por diversas vezes, o Banco Safra não nos retornou um posicionamento a respeito do episódio até o fechamento desta matéria. Atualizaremos esta reportagem caso a empresa se manifeste.
Gol fora
Outra instituição afetada, mas em grau bem menor, foi a Olé, empresa fruto da união entre o Santander e o Bonsucesso. Também atuando no segmento de empréstimos e cartões de crédito consignados, a empresa teve seu nome identificado em mais contratos de portabilidade. Novamente, aqui encontramos informações sensíveis como nome do cliente, número do documento de identificação e saldo devedor da instituição financeira originadora.
A The Hack encontrou ainda print screens de extratos bancários — imagens possivelmente usadas pelo consumidor para provar o seu rendimento mensal.
Tal como o Banco Safra, a Olé, até o momento, não se manifestou sobre o incidente, mesmo sendo procurada pelos mais diversos meios.
Débitos de assistência financeira
Por fim, a quarta e última instituição afetada pela exposição foi o Grupo Sabemi, que presta serviços nos segmentos de seguros e previdência privada. Embora a empresa represente a menor parcela de documentos dentro da amostra analisada, foi possível identificar documentos que revelam o saldo devedor de operações com a Sabemi Financeira. Em um dos casos, o cliente — devidamente identificado com nome e CPF — possuía uma dívida de mais de R$ 30 mil.
Desnecessário dizer que, sabendo tais informações, qualquer criminoso seria capaz de montar um golpe altamente personalizado, contatando a vítima em nome da Sabemi e realizando cobranças indevidas.
A Sabemi, até o momento, foi a única instituição que respondeu aos nossos contatos. Em nota, a empresa garante que não houve invasão aos seus sistemas e afirma não ter responsabilidade sobre documentos manipulados por parceiros comerciais. Confira o comunicado na íntegra:
A Sabemi informa que não identificou nenhum vazamento de informações em seu sistema. A empresa destaca que a segurança da informação é uma de suas prioridades, alinhada às melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores.
A empresa esclarece ainda que não se responsabiliza pelo banco de dados de terceiros, sejam eles parceiros ou corretores de seguros.
A Sabemi segue à disposição para colaborar com a apuração dos fatos.
Afinal, de quem é o servidor?
Até o momento, a The Hack — nem mesmo com a ajuda das empresas notificadas, que se esforçam para auxiliar na apuração — não conseguiu descobrir quem é o real responsável pelo bucket desprotegido no serviço Simple Storage Service (S3), da Amazon.
- Leia também: Conhecendo um pouco mais sobre o serviço Amazon S3
Fica cada vez mais claro de que o ambiente pertence a algum correspondente bancário que trabalha com crédito consignado, e, embora já seja possível ter algumas empresas em mente (observando o portfólio de parceiros afetados), seria irresponsabilidade apontar um nome.
Também existe a possibilidade de que a coleção de documentos esteja armazenada em alguma plataforma automatizada utilizada por não apenas um, mas vários correspondentes bancários. Isso explicaria a grande variedade de bancos afetados. A The Hack continuará investigando o incidente e traremos novidades em breve. Continue acompanhando.
Estou seguro?
Tal como citado na primeira reportagem desta série, não há indícios de que os documentos tenham circulado pela internet — ou seja, é pouco provável que as informações sensíveis tenham sido apropriadas por criminosos cibernéticos. Os poucos indivíduos que identificaram a exposição são pesquisadores de boa índole, que notificaram a imprensa e os órgãos envolvidos.
De qualquer forma, vale a pena ressaltar algumas posturas básicas de higiene digital, como tomar cuidado com emails e mensagens eletrônicas que lhe incentivem a clicar em algum link ou baixar algum arquivo. Caso você seja cliente de alguma das instituições citadas, redobre a atenção em quaisquer contatos em nome dos bancos em questão, especialmente se a mensagem indicar urgência no pagamento de algum débito ou no oferecimento de algum serviço, por exemplo.
- Leia mais notícias sobre Vazamentos.