O Banco Inter vazou dados pessoais de correntistas.

0 625

O Banco Inter deixou informações pessoais de correntistas expostos em seu site por mais de um ano. O Tecnoblog apurou que uma falha na implementação na área logada do internet banking para pessoa jurídica, permitia obter nome completo, CPF e e-mail de qualquer cliente da instituição, abrindo espaço para extração de dados em massa e golpes de phishing direcionados. A empresa nega.

A Plataforma do Banco Inter aberta.

Um pesquisador de segurança, conta ao Tecnoblog que o problema existia desde pelo menos, Setembro de 2017. De posse de uma conta de pessoa jurídica (Conta Digital PRO) e acesso ao internet banking, era possível obter informações de 1,45 milhão de correntistas do Banco Inter, seja pessoa física ou jurídica.

A brecha foi consertada ainda naquele ano no internet banking para pessoa física, mas a correção não havia sido aplicada no sistema para pessoa jurídica até esta terça-feira (12). “É uma mina de ouro para phishing. Eu entendo terem duas bases de código diferentes, mas não replicar correção de segurança não faz sentido”, conta o pesquisador.

A falha estava na página de transferência de recursos entre clientes do Banco Inter, que preenchia automaticamente os dados do correntista de destino. “Você já tem acesso ao número de conta, banco e agência, ficando muito mais fácil fazer ataques de phishing com os dados minerados. Para piorar, os números de conta são sequenciais, com o dígito verificador tendo uma fórmula conhecida, possibilitando fácil extração”, diz.

O Banco Inter disse que não houve vazamento.

Em resposta aos questionamentos dos clientes, o Banco Inter se pronunciou no Twitter:

“O Banco Inter assegura que não houve vazamento ou exposição de dados dos correntistas, conforme matéria publicada pelo canal Tecnoblog no dia 13 de Fevereiro. Para nós a segurança é prioridade. Mantemos regras rígidas para resguardar o sigilo das informações e as operações dos nossos clientes.

Trabalhamos com diferentes inteligências de autenticação e temos registros de todas as transações. Além disso, nossos processos internos são constantemente revistos com estudos e a implantação de novas tecnologias para reforçar a proteção da sua conta”.

Tecnoblog mantém todas as informações que foram apuradas na elaboração da noticia.

Em 2018, uma investigação do Ministério Público do Distrito Federal e Territórios (MPDFT) concluiu que o Banco Inter vazou dados pessoais de 19.961 correntistas. Na ocasião, informações como senha, código de segurança (CVV), e-mail, telefone e endereço, bem como CPF, RG, CNH, declaração de imposto de renda e fotos de cheques para compensação, haviam sido expostos na internet. A chave de criptografia privada do banco também vazou e foi revogada.

Compartilhe sua opinião.

%d blogueiros gostam disto: