26/08/2013
-
03h30
Brechas em sites do Bradesco e do Banco do Brasil expõem milhões de clientes
YURI GONZAGA
Diferentes brechas de segurança encontradas nos sites do Banco do
Brasil, do Bradesco, do serviço de pagamentos Moip e da Boa Vista
Serviços (administradora do cadastro de devedores SCPC) expuseram
recentemente dados privados de milhões de pessoas.
Os problemas foram descobertos pelo analista de sistemas Carlos Eduardo Santiago, 21, que os demonstrou à
Folha após ter sido ignorado pelas empresas. "Ao Moip, à Boa Vista e ao Bradesco, relatei as questões há cerca de um ano."
"Descobri o erro do Banco do Brasil no dia 8, mesma data de quando
avisei a empresa por meio do SAC, mas fui ignorado. Decidi, então,
verificar as outras falhas, e elas ainda existiam", conta.
A seção de seguros residenciais da agência virtual do Banco do Brasil
permitia, até a quinta-feira passada, que qualquer pessoa com acesso à
área (cliente segurado pelo banco ou em posse desses dados) visualizasse
CPF, nome, endereço, telefone, e-mail, agência e número da conta de
outro segurado, por meio de uma simples alteração no código, que pode
ser visualizado com qualquer navegador moderno --não demanda ferramenta
ou conhecimento avançados.
Segundo Santiago, o número de clientes do Banco do Brasil que foram
expostos pelo erro é de 1,85 milhão, estimativa com base na sequência do
código dos documentos disponíveis durante pelo menos duas semanas.
Contatada pela
Folha na quinta, a companhia solucionou a falha no mesmo dia.
Por meio de sua assessoria de imprensa, o Banco do Brasil disse que "o
problema não teve associação com qualquer tipo de transação financeira" e
que, por isso, "não trouxe risco para os clientes."
Um grande número de boletos bancários gerados pelo Bradesco está visível
e expõe informações de clientes do banco, como CPF, nome, endereço,
agência e número da conta, além do valor e do estabelecimento do
pagamento em questão.
Consultada, a companhia disse que esse sistema "é utilizado há mais de
dez anos e o banco nunca registrou fraude ou problema de clientes."
A brecha permite que os documentos sejam encontrados até por meio de uma
pesquisa no Google e consiste em uma URL aberta (um link de internet
desprotegido). Falha semelhante foi verificada no site do Moip, que
presta serviços de pagamento on-line para diversas empresas, e permitia
ver o mesmo tipo de dado.
O link desprotegido, que é hospedado pelo Moip, continua disponível, mas
a empresa diz não ter responsabilidade sobre ele. "As URLs dos boletos
em questão foram disponibilizadas pelos próprios vendedores em seus
sites."
Em sua página, a companhia diz processar 300 mil transações virtuais por mês.
DÉBITO À VISTA
A seção de consulta a débitos do site da Boa Vista serviços, responsável
pelo SCPC, permitia até a quinta passada (quando o erro foi corrigido,
após o contato) que fossem visualizadas as dívidas relacionadas a um
CPF. Segundo a empresa, cerca de 2,5 milhões de pessoas estão
catalogadas no sistema.
*
OUTRO LADO: BANCO DO BRASIL
"O Banco do Brasil corrigiu imediatamente falha pontual restrita às
consultas de propostas de Seguro Residencial. O problema não teve
associação com qualquer tipo de transação financeira. Portanto, não
trouxe riscos para clientes. O BB avalia que o problema decorreu de
atualizações constantes que visam o aprimoramento dos sites. Por fim, o
BB informa que revisa periodicamente procedimentos de controles de
qualidade, a fim de reduzir os riscos operacionais. Além disso, o Banco
segue normativos internacionais que tratam de segurança de TI em
bancos."
OUTRO LADO: BRADESCO
"O Bradesco esclarece que trata-se de uma URL [link] válida do
comércio eletrônico do banco. A mesma não representa falha e nem
vulnerabilidade, pois não é possível alterar os dados do boleto, porém
permite que a loja conveniada ao banco mande a URL para que o comprador
gere o boleto para pagamento. Por ser uma URL é passível de aparecer no
Google como qualquer outra página. O fato de mexer no MerchantId e
OrderId [parâmetros que, se alterados, exibem outros documentos] e
aparecer outros boletos gerados também não implicam em falha ou fraude,
pois não é possível alterar o status da compra ou disponibilizar
informações que sejam sigilosas. A URL é segura e utiliza o protocolo de
segurança SSL, autenticado com certificado digital válido, atendendo as
melhores práticas de segurança. Vale salientar que esta solução está
disponível neste formato há mais de 10 anos e o Banco nunca registrou
fraude ou problemas junto aos clientes."
OUTRO LADO: BOA VISTA SERVIÇOS/SCPC
"O serviço de autoconsulta de CPF é oferecido gratuitamente para que o
consumidor consulte sua situação. Temos cerca de 2,5 milhões de
usuários cadastrados. A aplicação é separada dos outros ambientes de
negócios da Boa Vista --isso é um ponto importante. Além disso, a
consulta é bem limitada.
Ela, como uma aplicação que tem o seu público amplo, é desenhada com
termos de uso. O consumidor deve consultar o seu CPF, e não o de outras
pessoas.
Identificamos isso, mas já bloqueamos aquele caminho. É um caminho
técnico e que o usuário comum do portal não faria, porque precisa de um
conhecimento para abrir linhas de código. Já está bloqueado."
OUTRO LADO: MOIP
"O Moip vem a público esclarecer a questão sobre os boletos indexados
pelo buscador Google. O Moip não divulga, transmite ou publica qualquer
informação de seus clientes, tampouco permite a indexação de dados
particulares nos buscadores da internet. Todos os boletos gerados a
partir das soluções do Moip são automaticamente retiradas de qualquer
indexação deste ou qualquer outro buscador. As URLs dos boletos em
questão foram disponibilizados pelos próprios vendedores em seus sites,
permitindo assim suas indexações pelo Google.
Já entramos em contato com a equipe técnica do Google para o
impedimento de novas indexações futuras, ainda que publicadas por
terceiros."