Uma falha de segurança no sistema da previdência privada do Banco do Brasil teria sido responsável pela exposição de dados de cerca de 153 mil clientes da instituição. Isso é o que afirma uma denúncia anônima enviada ao Olhar Digital na última quarta-feira (06). Segundo o site, a fonte declarou ser possível acessar e editar informações pessoais, além de cadastrar beneficiários sem intervenção do banco.
De acordo com o denunciante, para realizar o processo seria necessário somente inserir o link padrão de qualquer conta da BB Previdência e substituir o "número sequencial do participante" no fim da URL por outro qualquer. Então, nome e endereço completos, CPF, data de nascimento, email, telefone, nome de entidade para portabilidade, tipo de plano e CNPJ de empresa ficariam totalmente expostos ao invasor.
Dados poderiam ser editados, de acordo com denúncia.Fonte: Olhar Digital
Para piorar a situação, o valor bruto na conta também teria sido exibido, inclisive com a possibilidade de editar informações de possíveis herdeiros para transferência de fundos em caso de morte do titular.
Posicionamento do Banco do Brasil
ATULIZAÇÃO - 14H47 DE 07/05/20 - O Banco do Brasil se pronunciou ao TecMundo em nome da BB Previdência reconhecendo a vulnerabilidade. Entretanto, a instituição nega que era possível transferir fundos livremente a partir das contas que tiveram dados expostos. O banco afirma que um cadastro de informações para herdeiros dos titulares foi confundido pelo Olhar Digital como um recurso similar a uma TED ou DOC. Entretanto, as pessoas cadastradas ali só receberiam dinheiro das contas da BB Previdência em caso de morte dos titulares e apresentação de documentos físicos.
O Banco do Brasil também afirma que, em vez de 153 mil pessoas (o total de clientes da BB Previdência), a brecha de segurança expôs, na verdade, somente 106 pessoas, todas ex-funcionárias de uma empresa que fechou durante a pandemia da covid-19. Para evitar que esses clientes se dirigissem a agências, a página com a brecha de segurança teria sido criada para facilitar o processo de consulta de recursos depositados durante o contrato com a antiga empregadora desses indivíduos.
Ainda aguardamos a contabilização final por parte da BB Previdência para saber o número real de pessoas que de fato tiveram seus dados acessados por alguém que não elas mesmas enquanto a brecha ainda estava no ar.
Veja a nota oficial na íntegra:
A BB Previdência informa que suspendeu ontem, 6/05, a opção "Retirada de Patrocínio" tão logo teve conhecimento de falha na funcionalidade e que irá adotar medidas tempestivas para corrigir os problemas identificados e garantir o perfeito sigilo dos dados de seus clientes.
A página foi criada no último dia 20/4, como parte do esforço para evitar que 220 ex-funcionários de uma empresa que teve suas atividades recentemente encerradas precisassem se deslocar pessoalmente a uma agência para definir pela melhor maneira de utilizar o saldo acumulado em seus planos de previdência e entregar os documentos requeridos.
Desde o lançamento, a transação exibiu dados de 106 clientes, incluídos nesse total os clientes que acessaram seus próprios dados, o que acreditamos ser a grande maioria. A BB Previdência acrescenta que em nenhum momento foi possível realizar transferência de recursos para contas com CPF diferente do titular do plano de previdência.
A página não realiza nenhum tipo de processamento online. Os dados e documentos recebidos são posteriormente analisados por equipe de back office.
A BB Previdência é uma subsidiária do Banco do Brasil que possui independência administrativa e mantém site, sistemas e equipes de tecnologias próprios e independentes do Banco do Brasil. A BB Previdência não tem nenhuma relação com outra empresa do Conglomerado Banco do Brasil, a Brasilprev.
Valor bruto e outras informações também ficariam visíveis ao invasor.Fonte: Olhar Digital
Este texto foi atualizado às 14h47 de 07/05/20 para incluir um novo posicionamento do Banco do Brasil e BB Previdência atualizando números e questionando possibilidades levantadas pelo Olhar Digital.
Fontes
Categorias