De acordo com a Exame, uma chave de criptografia privada do Banco Inter vazou na internet. Já com o certificado digital revogado, o vazamento da chave privada SSL é mais um capítulo nos recentes casos que envolvem a fintech.
O TecMundo publicou na sexta-feira retrasada (04) o recebimento de um arquivo criptografado com 40 GB. Por lá, são encontradas fotos de cheques, documentos, transações, emails, informações pessoais, chaves de segurança e senhas de cerca de 100 mil pessoas. Segundo o Banco Inter, a instituição sofreu uma tentativa de extorsão interna no começo do mês, mas detalhes não foram revelados.
De posse da chave privada, uma pessoa mal intencionada poderia criar uma réplica fiel do site do Banco Inter
Sobre a chave privada SSL, ela teve o vazamento indicado pelo pesquisador de segurança digital Thiago Ayub. Pouco tempo depois da revelação, a suposta chave de criptografia foi revogada pelo banco.
A Exame também nota um ponto preocupante neste caso: "Ayub também reporta ter obtido dados de clientes e se propôs a implementar um sistema para que os clientes pudessem checar se seus dados estavam no banco de dados vazados. No entanto, após pedir pronunciamento do banco, ele publicou no Twitter uma mensagem na qual dizia ter sido censurado, seguida de um trecho de 'Os Lusíadas', de Luís de Camões. Ele não informa quem o teria censurado", descreve o veículo.
Tweet do pesquisador de segurança
Como mostrado na reportagem, o pesquisador digital iria desenvolver um sistema criptografado para os clientes do banco checarem, de maneira segura, se tiveram as informações pessoais vazadas. Porém, após a publicação de 'Os Lusíadas', "o projeto não viu a luz do dia", nota a Exame.
Atualmente, o Ministério Público investiga o caso por meio da Comissão de Proteção dos Dados Pessoais
Segundo o pessoal do Tecnoblog, "de posse da chave privada, uma pessoa mal intencionada poderia criar uma réplica fiel do site do Banco Inter, utilizando um certificado legítimo da própria instituição, abrindo espaço para ataques de phishing. A revogação do certificado com a chave comprometida evita que isso aconteça no futuro, mas pode servir como uma prova importante para a investigação do possível vazamento de dados de clientes".
O banco não comentou sobre o vazamento da chave.
Atualmente, o Ministério Público do Distrito Federal e Territórios (MPDFT), por meio da Comissão de Proteção dos Dados Pessoais, está investigando o caso de tentativa de extorsão interna e o suposto vazamento de dados de clientes no Banco Inter.
Categorias