Read, hack, repeat

Exclusivo: financeira expõe informações bancárias de mais de 1,4 milhão de brasileiros

Ramon de Souza

A Consiga Cred, correspondente que representa 50 bancos e oferece diversos tipos de serviços financeiros, acabou expondo informações bancárias de mais de 1,4 milhão de brasileiros, conforme apurado com exclusividade pela The Hack. A investigação partiu da denúncia de uma fonte anônima, que detectou um problema estrutural no sistema de gestão da companhia: ele possuía um diretório público usado para armazenar planilhas no formato CSV. Cada uma dessas planilhas, porém, estava recheada com dados de clientes.

O problema era tão grave que não foi necessário qualquer tipo de conhecimento técnico para explorar a falha — bastava saber exatamente qual era o endereço do diretório em questão para acessá-lo sem dificuldades e fazer download dos documentos. Ao que tudo indica, a URL ainda era indexada pelos mecanismos de busca e poderia ser encontrada empregando-se uma simples pesquisa no Google. No total, a The Hack obteve acesso a 10 planilhas, sendo que cada uma possuía um número distinto de registros.

Diretório público continha diversas pastas recheadas de planilhas

A planilha mais volumosa listava 1.048.576 nomes; em seguida, temos uma com 142.898 clientes e outra com exatos 100.000. Somando os outros arquivos menores (cada um com a quantidade de registros variando de 3 mil a 40 mil), chegamos ao montante de 1.414.489 brasileiros afetados pelo incidente. Não foi possível confirmar se existem registros repetidos — porém, tal número final é realista, visto que a própria Consiga Cred se orgulha de ter feito 2.579.868 contratos só durante o último ano.

O que foi exposto?

Ao que tudo indica, todos os clientes afetados são indivíduos que já assinaram um contrato (vigente ou vencido) de empréstimo com a Consiga Cred. As informações encontradas pela The Hack em cada uma das planilhas são as seguintes:

  • Dados pessoais: nome completo, número do CPF, endereço completo, número do telefone com DDD, data de nascimento;
  • Dados bancários: valor do salário (ou benefício), valor da margem consignável, ID e agência do banco de pagamento, número da conta bancária, ID da instituição pagadora, ID do banco responsável pelo empréstimo, número do contrato, valor do empréstimo, data inicial e final de desconto em folha, quantidade e valor das parcelas e se o empréstimo foi via cartão de crédito ou não.

Foi possível identificar outros campos numéricos, mas não conseguimos compreender o seu significado (possivelmente, são dados de uso interno dos operadores da Consiga Cred).

Planilhas incluem dados cadastrais e até valor do salário das vítimas

Com toda essa gama de informações, fica fácil para qualquer criminoso aplicar golpes de engenharia social nos clientes da instituição. Tendo em mãos tantos detalhes sobre as operações financeiras das vítimas, um golpista conseguiria se passar pela Consiga Cred e ganhar a confiança do alvo, convencendo-o a, por exemplo, realizar uma transferência monetária sob o pretexto de pagar uma parcela do empréstimo.

O que foi feito?

Tendo recebido a denúncia do problema no dia 21 de novembro, a The Hack notificou a Consiga Cred na mesma data; porém, a companhia só respondeu na última quarta-feira (27). De acordo com a equipe de TI da empresa, o sistema havia sido desenvolvido por uma agência parceira; com isso, eles não estavam cientes da vulnerabilidade e resolveram a falha assim que tomaram conhecimento.

No momento em que esta reportagem foi escrita, o diretório em questão já se encontrava fora do ar.

Contudo, é impossível definir quantas pessoas tiveram acesso às planilhas antes da vulnerabilidade ser consertada. Isto posto, sugerimos atenção redobrada por parte dos clientes da Consiga Cred; tome muito cuidado com eventuais contatos por telefone e email, evitando cair em um golpe de engenharia social. Procure sempre, se possível, obter informações pessoalmente na agência em que você realizou seu empréstimo (ou contratou qualquer outro serviço financeiro).


Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.