Falhas de segurança nos sites do Bradesco e Banco do Brasil expõem dados de clientes

Falhas de segurança existentes nos sites do Bradesco e Banco do Brasil expuseram dados de milhões de clientes. As brechas permitiam o acesso a determinadas informações pessoais, como CPF, nome completo, telefone e endereço. Os problemas também ocorriam no serviço de pagamentos Moip e na Boa Vista Serviços, responsável por administrar o Serviço Central de Proteção ao Crédito (SCPC).

As brechas foram descobertas pelo analista de sistemas Carlos Eduardo Santiago e algumas delas existiam há pelo menos um ano. Ele relatou os problemas por meio do serviço de atendimento das empresas, mas foi ignorado, então decidiu contar os detalhes à Folha.

No Bradesco, boletos bancários estão visíveis por qualquer um e podem ser encontrados através de pesquisas no Google. Os documentos contêm dados como CPF, nome completo, endereço e número da conta. Essa falha não é muito diferente da encontrada recentemente nos sites da Telexfree e BBOM. Alterando os parâmetros da URL, é possível acessar boletos de outros clientes.

Só que o Bradesco diz que esta não é uma falha de segurança, mas sim uma característica do sistema: as URLs permitem que clientes de lojas online conveniadas ao banco acessem seus boletos para fazer o pagamento. O Bradesco afirma que a URL é “passível de aparecer no Google como qualquer outra página” e declara que nunca teve problemas com fraudes, mesmo usando o sistema há mais de 10 anos.

Boletos bancários do Moip também estão acessíveis, mas o serviço declarou que as URLs encontradas em buscas estavam sendo disponibilizadas pelos vendedores em seus sites, o que permitiu a indexação pelo Google. Os boletos gerados a partir do Moip seriam automaticamente removidos das buscas; de qualquer forma, o serviço entrou em contato com o Google para evitar que os boletos sejam indexados no futuro.

Já o problema no Banco do Brasil era um pouco mais restrito. Ele podia ser explorado apenas por quem tivesse acesso à seção de seguros residenciais da agência virtual e permitia a visualização de dados como agência e número da conta, CPF e nome. A brecha permaneceu no ar por pelo menos duas semanas, mas foi corrigida assim que o banco recebeu as informações da Folha. Não houve risco para os clientes, segundo o banco.

A Boa Vista Serviços, que administra o cadastro de devedores SCPC, possui um sistema que permite que 2,5 milhões de pessoas consultem dívidas relacionadas ao seu CPF. O problema é que uma pessoa poderia consultar dívidas de outro CPF, algo que não é permitido pelos termos de uso do próprio serviço. A falha, que segundo a empresa exigia conhecimentos técnicos, foi corrigida.

Fonte: Tecnoblog
Com informações: Folha.