Read, hack, repeat

Estes são os outros bancos afetados pelo vazamento de 250 GB

Ramon de Souza

Após apurar mais uma porção da coleção de 250 GB de documentos expostos graças a uma falha de configuração em um servidor, e com a devida notificação enviada às empresas em questão, a The Hack finalmente pode divulgar o nome das outras instituições que foram afetadas pelo incidente. Se você não leu, vale a pena conferir a reportagem publicada na última segunda-feira (22), na qual demos uma introdução ao caso e explicamos o problema.

Como citado na época, a exposição afetou principalmente o Banco Pan: estimamos que, de todos os arquivos analisados, 90% pertencem ao grupo fundado pelo apresentador Silvio Santos (Senor Abravanel). Porém, uma quantidade generosa de documentos também fazem menção a outras organizações. Uma delas, que corresponde a aproximadamente 5% do material analisado, é o Banco Safra, fundado em 1955 por Jacob Safra.

Tal como ocorreu com o Pan, a maioria dos papéis digitalizados são propostas de portabilidade de operações de crédito e requisições para solicitar informações financeiras de clientes, tendo o Safra como proponente. Tais documentos listam nome completo, RG, CNH, CPF, data de nascimento, filiação e telefone dos clientes, que continuam apresentando o mesmo perfil: aposentados, pensionistas, servidores públicos e militares, todos em busca de crédito consignado ou outros serviços similares.

Embora a The Hack tenha tentado contatar a instituição bancária através de diversos métodos e por diversas vezes, o Banco Safra não nos retornou um posicionamento a respeito do episódio até o fechamento desta matéria. Atualizaremos esta reportagem caso a empresa se manifeste.

Gol fora

Outra instituição afetada, mas em grau bem menor, foi a Olé, empresa fruto da união entre o Santander e o Bonsucesso. Também atuando no segmento de empréstimos e cartões de crédito consignados, a empresa teve seu nome identificado em mais contratos de portabilidade. Novamente, aqui encontramos informações sensíveis como nome do cliente, número do documento de identificação e saldo devedor da instituição financeira originadora.

A The Hack encontrou ainda print screens de extratos bancários — imagens possivelmente usadas pelo consumidor para provar o seu rendimento mensal.

Tal como o Banco Safra, a Olé, até o momento, não se manifestou sobre o incidente, mesmo sendo procurada pelos mais diversos meios.

Débitos de assistência financeira

Por fim, a quarta e última instituição afetada pela exposição foi o Grupo Sabemi, que presta serviços nos segmentos de seguros e previdência privada. Embora a empresa represente a menor parcela de documentos dentro da amostra analisada, foi possível identificar documentos que revelam o saldo devedor de operações com a Sabemi Financeira. Em um dos casos, o cliente — devidamente identificado com nome e CPF — possuía uma dívida de mais de R$ 30 mil.

Desnecessário dizer que, sabendo tais informações, qualquer criminoso seria capaz de montar um golpe altamente personalizado, contatando a vítima em nome da Sabemi e realizando cobranças indevidas.

A Sabemi, até o momento, foi a única instituição que respondeu aos nossos contatos. Em nota, a empresa garante que não houve invasão aos seus sistemas e afirma não ter responsabilidade sobre documentos manipulados por parceiros comerciais. Confira o comunicado na íntegra:

A Sabemi informa que não identificou nenhum  vazamento de informações em seu sistema.  A empresa destaca que a segurança da informação é uma de suas prioridades, alinhada às melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores.

A empresa esclarece ainda que não se responsabiliza pelo banco de dados de terceiros, sejam eles parceiros ou corretores de seguros.

A Sabemi segue à disposição para colaborar com a apuração dos fatos.

Afinal, de quem é o servidor?

Até o momento, a The Hack — nem mesmo com a ajuda das empresas notificadas, que se esforçam para auxiliar na apuração — não conseguiu descobrir quem é o real responsável pelo bucket desprotegido no serviço Simple Storage Service (S3), da Amazon.

Fica cada vez mais claro de que o ambiente pertence a algum correspondente bancário que trabalha com crédito consignado, e, embora já seja possível ter algumas empresas em mente (observando o portfólio de parceiros afetados), seria irresponsabilidade apontar um nome.

Também existe a possibilidade de que a coleção de documentos esteja armazenada em alguma plataforma automatizada utilizada por não apenas um, mas vários correspondentes bancários. Isso explicaria a grande variedade de bancos afetados. A The Hack continuará investigando o incidente e traremos novidades em breve. Continue acompanhando.

Estou seguro?

Tal como citado na primeira reportagem desta série, não há indícios de que os documentos tenham circulado pela internet — ou seja, é pouco provável que as informações sensíveis tenham sido apropriadas por criminosos cibernéticos. Os poucos indivíduos que identificaram a exposição são pesquisadores de boa índole, que notificaram a imprensa e os órgãos envolvidos.

De qualquer forma, vale a pena ressaltar algumas posturas básicas de higiene digital, como tomar cuidado com emails e mensagens eletrônicas que lhe incentivem a clicar em algum link ou baixar algum arquivo. Caso você seja cliente de alguma das instituições citadas, redobre a atenção em quaisquer contatos em nome dos bancos em questão, especialmente se a mensagem indicar urgência no pagamento de algum débito ou no oferecimento de algum serviço, por exemplo.


Compartilhar twitter/ facebook/ copiar link
Insira alguma palavra-chave. 0 Aqui está o que nós encontramos

Que tal falar conosco sobre parcerias e oportunidades?

Vamos tomar um café. Mande um email para hello@thehack.com.br.