Exposição atingiu principalmente o Banco Pan. Caso ocorreu na semana passada

Uma reportagem do site The Hack afirma que cerca de 250 GB de dados de clientes bancários no Brasil foram expostos na semana passada. O vazamento foi indicado pelo grupo de pesquisa Data Group, e inclui principalmente documentos digitalizados dos usuários de instituições financeiras, sendo a maioria desses arquivos de clientes do Banco Pan (anteriormente conhecido como PanAmericano).

A coleção inclui versões digitais de documentos pessoais (RG, CPF, CNH), comprovantes de endereço, contratos, ordens de pagamento, demonstrativos, holerites, contracheques, renda mensal, movimentações bancárias e até mesmo cartões de crédito, além de extratos gerados em páginas de inernet banking. Os perfis dos clientes afetados são, em sua maioria, de aposentados, pensionistas, militares e servidores públicos.

Os documentos vazados se encontravam em um bucket do Simple Storage Service (S3), serviço de armazenamento em nuvem da Amazon. Por conta de uma configuração errônea, o servidor estava público, possibilitando o acesso de um usuário não-autenticado para realizar o download dos arquivos armazenados. Contudo, não há indícios de que os arquivos foram vazados na internet, o que significa que os clientes não devem ter sido afetados.

Em nota, o Banco Pan confirmou que o servidor S3 pertence a um parceiro comercial, mas não revelou seu nome. Veja abaixo a nota enviada ao The Hack:

“O Banco informa que o ambiente questionado não é de sua propriedade e que, após análise criteriosa em seus sistemas de segurança, não foi constatada qualquer invasão. Na atuação com parceiros comerciais são capturados dados cadastrais de potenciais clientes por tais parceiros, antes da efetiva formalização de uma operação com o Banco, que adota as medidas cabíveis caso identificado qualquer tipo de uso indevido dessas informações. Ratifica que a segurança da informação é uma de suas prioridades, alinhada com as melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores. Em compromisso com a sociedade, segue à disposição para colaborar com a apuração dos fatos.”

Fonte: The Hack e PCWorld