O banco PAN, controlado pela BTG Pactual, sofreu um vazamento de dados na madrugada de sexta-feira (15). Em documento de amostra enviado ao TecMundo, estão expostas as informações de conta de cerca de 64 mil clientes. O banco ainda estaria passando por uma possível tentativa de extorsão para que os dados não sejam publicados.
No total, segundo denúncia anônima, seriam 22 milhões de contas comprometidas. A assessoria de imprensa do PAN foi clara ao notar que esse número seria falso.
O TecMundo só confirmou o vazamento de 64 mil contas
Até o momento, o TecMundo só confirmou o vazamento de 64 mil contas presentes em uma amostra de 1 GB – o arquivo completo, com supostos 25 GB, ainda não foi enviado.
Entre as informações, é possível encontrar nome completo, CPF, data de nascimento, endereço residencial, informações sobre cartões de crédito e número da conta mascaradas, saldo devedor e valor da fatura. Além disso, foram extraídas durante os dias 01 de março até 20 de março de 2022.
Uma segunda fonte anônima que abordou o TecMundo comentou sobre uma tentativa de extorsão para que a divulgação não ocorra. Seria um segundo crime, além da invasão, que o PAN estaria lidando.
O banco, ao ser abordado, buscou ser transparente sobre o caso e admitiu o problema: “Detectamos recentemente uma fragilidade na plataforma de um fornecedor de tecnologia, utilizada na Central de Atendimento a clientes do segmento de cartões. Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa.”.
Ainda, disse ao TecMundo que “de acordo com a apuração em curso, já foi possível constatar que não houve comprometimento de conta corrente, indisponibilidade de sistema, ou invasão à infraestrutura do Banco, tendo sido confirmado, no entanto, que a exploração da vulnerabilidade permitiu a cópia não autorizada de dados cadastrais, de limite disponível e saldo devedor, sem que tenham sido expostos dados completos de cartão, senhas ou qualquer dado que incorra em risco financeiro direto para o cliente e para o banco. Reforçamos que a segurança das informações é nossa prioridade e todas as autoridades competentes foram notificadas".
O PAN, com esse posicionamento, busca deixar claro que dados bancários que gerem risco financeiro via PAN não foram vazados, limitando-se ao nome, CPF, nascimento, endereço, número da conta, saldo, valor da fatura. Além disso, que autoridades policiais já investigam o acesso não-autorizado.
Trecho do leak
Como o ataque aconteceu
Detalhes sobre a invasão não foram compartilhados de maneira clara, porém, o atacante descreveu como fez para conseguir o acesso não-autorizado.
“O banco utiliza credenciais impotentes e simples para controlar todas as contas de e-mail responsáveis por processar as informações dos clientes, como registrar novas contas, responder tickets etc”, disse a fonte. “Com uma senha válida obtida, foi feita uma listagem de todos os emails públicos de funcionários, e com um ataque de password spray foi possível comprometer muitas contas que tinham acessos ascendidos a dados dos clientes”.
O atacante comenta que iniciou um processo de identificação da API
O atacante ainda comenta que iniciou um processo de identificação da API de onde os dados eram extraídos para o sistema de email e que desenvolvido um script para extrair informações dos clientes.
“O script era simples, apenas utilizava um cookie válido para enviar requests autenticadas para a API e salvava o resultado em um arquivo de texto. Ao total, foram extraídas informações de mais de 22M de clientes do banco Pan, que como citado acima, contém muitas informações que podem ser utilizadas por grupos criminosos”.
Em sua denúncia, o invasor deixou claro que também enviou um relatório ao CSIRT do banco Pan (grupo técnico responsável por resolver incidentes relacionados à segurança) com todos os detalhes de como o ataque foi coordenado, contando com CWE e CVSS de criticidade calculado.
Como se proteger em casos de vazamento
Algumas dicas são importantes para pessoas que tiveram seus dados vazados, principalmente com dados tão recentes e precisos como os presentes nesse vazamento.
Informações vazadas como essas abrem a possibilidade para os seguintes golpes: phishing, spear phishing (mensagens falsas com dados precisos e direcionados), roubo de identidade e abertura de contas falsas.
- Habilitar o segundo fator de autenticação é mandatório. Faça isso em aplicativos, serviços e emails. Fuja do segundo fator de autenticação via SMS, procure por soluções terceiras como Authy, Google e Microsoft Authenticator.
- Desconfie de links e mensagens que chegam até você, principalmente boletos de pagamento. Caso você tenha alguma dúvida, seja pró-ativo e busque contato com o banco em canal oficial.
- Há um jeito muito simples de saber se você foi vítima de fraude: o site Registrato, do Banco Central, monitora quais contas correntes estão vinculadas ao CPF do titular. Por meio de um cadastro simples, é possível acessar informações de empréstimos e financiamentos, lista dos bancos em que você possui conta, indicações de chaves PIX cadastradas em instituições de pagamentos e dados sobre operações de câmbio ou transferências internacionais.
Segundo o advogado Rofis Elias Filho, da Elias Filho Advogados, “a LGPD protege a privacidade dos dados pessoais de todos os clientes e também traz a hipótese em que haverá a responsabilização do controlador dos dados, pelos danos patrimoniais e morais causados, sejam individuais ou coletivos, segundo o artigo 42”. Por isso, clientes que se sentirem lesados de alguma maneira podem entrar em contato com o banco para averiguação.
Denúncias ao TecMundo
O TecMundo apoia o trabalho de hackers éticos, nossos canais de contato são:
Categorias