O Ministério Público do Distrito Federal e Territórios (MPDFT), por meio da Unidade Especial de Proteção de Dados Pessoais e Inteligência Artificial (Espec), acaba de instaurar um inquérito para investigar o vazamento de mais de 200 GB de documentos bancários por conta de um servidor desprotegido. A exposição dos arquivos — que pertencem, na maioria, ao Banco Pan — foi noticiada com exclusividade pela The Hack; confira aqui.
“Uma provável vulnerabilidade na ferramenta de armazenamento de dados em nuvem, utilizada pela instituição financeira, expôs indevidamente 245 gigabytes, o que corresponde a 1.235.151 arquivos de documentos relacionados a clientes do Banco”, explica o órgão, em um comunicado oficial. De acordo com a instituição, é possível que este poderá ser “o maior incidente de segurança envolvendo dados financeiros no Brasil”.
“O MPDFT obteve vasta documentação que inclui digitalizações de documentos pessoais como carteiras de identidade, carteiras de habilitação, comprovantes de residência, CPFs, cartões de crédito, contratos de financiamento, solicitações de saque e extratos bancários, dentre outros”, completa o anúncio. O Inquérito Civil Público pode ser acessado na íntegra, em PDF, através deste link.
Afinal, o que aconteceu?
No dia 22 de julho, a The Hack noticiou, com exclusividade, que um bucket do serviço Amazon Simple Storage Service (S3) estava desprotegido, expondo aproximadamente 250 GB de documentos sensíveis provenientes de uma série de instituições bancárias. A informação nos foi concedida pelo Data Group, grupo de jovens pesquisadores brasileiros independentes.
Após analisar uma amostra dos arquivos, pudemos constatar que a maioria pertencia ao Banco Pan, embora também existissem itens de outras instituições financeiras como Safra, Olé e Sabemi Seguradora. Tudo indica que o servidor em questão era gerenciado por um correspondente bancário que trabalha com produções e serviços para o público aposentado, pensionista e militar, visto que todos os clientes se enquadram nesse perfil — contudo, não foi possível identificar o dono do bucket.
O maior incidente de segurança envolvendo dados financeiros no Brasil.
Procurado pelo Convergência Digital a respeito do inquérito, o Banco Pan emitiu uma nota similar à enviada na época para a The Hack. Afirmando que o ambiente em questão não é de sua propriedade, a empresa ressaltou que “na atuação com parceiros comerciais são capturados dados cadastrais de potenciais clientes por tais parceiros, antes da efetiva formalização de uma operação com o Banco, que adota as medidas cabíveis caso identificado qualquer tipo de uso indevido dessas informações”.
Por fim, o Banco Pan diz ainda que “a segurança da informação é uma de suas prioridades, alinhada com as melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores. Em compromisso com a sociedade, segue à disposição para colaborar com a apuração dos fatos”.
- Leia mais notícias sobre Vazamentos.
Fonte: MPDFT, Convergência Digital