Entenda o caso do vazamento do Banco Inter

As fintechs passam por um momento complicado em suas velozes ascensões no mercado brasileiro. Primeiro foi a liquidação do banco Neon, que embora não tenha atingido diretamente as contas digitais, passou por “dias difíceis” ( para entender melhor sobre o caso, leia nosso artigo: Como o fim do banco neon afeta contas digitais?)

Agora é a vez do Banco Inter, que apesar de ter tido menor repercussão, está imerso em uma crise bem maior do que a enfrentada pela Neon Pagamentos. A instituição, que supostamente teve os dados dos usuários vazados no mês passado, está sendo investigada pelo Ministério Público do Distrito Federal e Territórios e teve o certificado de banco digital revogado. Para entender tudo o que aconteceu, vamos ter que voltar ao início dos eventos:

Suposto vazamento de dados do Banco Inter

No dia 24 de maio, o TecMundo noticiou vazamento de dados bancários de aproximadamente 300 mil correntistas do banco. O site revelou ter recebido um arquivo de 40 GB com as informações e um manifesto de 18 páginas em que o hacker “John” descreve como explorou as falhas de segurança da instituição para obter os dados. Além disso, no documento, ele explica quais foram suas motivações e como foi sua tentativa de extorsão ao Banco Inter.

Já viu a resenha do Promobit no Techmundo?

Os arquivos, que chegaram ao TecMundo, de acordo com reportagem publicada no site, também foram vendidos por um grupo ligado ao hacker, após a instituição, corretamente, se recusar a ceder à extorsão.

Banco nega, site confirma

Após publicação da reportagem e repercussão, a instituição se posicionou reconhecendo a tentativa de extorsão, mas negou que seus dados tenham sido vazados. Em nota, afirmou: “o Banco Inter segue as regulamentações de segurança aplicáveis à natureza do serviço prestado, estando em conformidade com as boas práticas no que se refere à proteção dos dados pessoais de seus clientes. Nesse sentido, busca constantemente o aperfeiçoamento de sua segurança digital. Inclusive, é pioneiro na migração de dados para computação em nuvem junto ao seu parceiro Amazon Web Services”.

Por sua vez, em atualização ao seu post, o TecMundo afirmou ter apurado todo o caso e realizado ligação para vários dos números encontrados nos arquivos obtidos com o hacker. “Todas as ligações realizadas foram gravadas e os clientes confirmaram os dados vazados:”

Gravidade do vazamento

Dentre os 40 GB em posse do TecMundo, 30 GB seriam de dados sensíveis dos correntistas, incluindo:

• Dados cadastrais, incluindo código de segurança e senha;
• Dados do cartão, incluindo número, CVV e data de validade;
• Base de cadastro Mastercard com e-mails, telefones, endereço, nome do pai, nome da mãe, documentos, telefone fixo e celular;
• Fluxo de troca de senha do cartão, incluindo antigas e novas;
• Logs transacionais de todas as operações e transações bancárias realizadas pelos clientes;
• Documentos e contratos de serviço, incluindo CPF, RG, CNH, comprovantes e, eventualmente, declaração de imposto de renda;
• Fotografias de cheques usadas pelo serviço de compensação de cheques por imagem no aplicativo;
• Padrões de URL de sistemas no cloud front;
• Chaves de API e URLs usadas para validar a senha master na processadora de cartões Fast Solutions;
• Entre outros.

De acordo com o próprio hacker, em nota publicada no TecMundo, o vazamento já é uma das maiores falhas de segurança de um banco na história recente do Brasil, afetando a vida de centenas de milhares de brasileiro e a confiança no próprio sistema bancário digital como um todo.

“Problema grande suficiente para comprometer não só o rating do banco Inter frente ao Banco Central, mas comprometer o rating de todos os bancos digitais, ou bancos clássicos que planejem adotar soluções de Cloud Computing em grande escala. E claro, potencialmente, afetar o resultado e as recomendações do Banco Central e do Working Group da Febraban para indicar até que ponto um banco ou uma fintech deve usar recursos de cloud”.

Investigação do Ministério Público

No dia 10, o problema do suposto vazamento saiu da esfera da confiança pública e foi para a esfera da justiça, quando o Ministério Público do Distrito Federal e Territórios (MPDFT) abriu inquérito para investigar o caso de vazamento de dados. O Ministério Público afirmou que também está em posse dos mesmos arquivos que chegaram até o TecMundo.

Uma semana antes da abertura do inquérito, no dia 04, o Ministério Público já havia requisitado informações sobre o ocorrido, por meio de ofício, ao Banco Inter. A instituição deve responder ao MP informando sobre a existência do incidente do vazamento de dados, sua natureza, medidas tomadas e número total de clientes que foram afetados.

De acordo com o promotor de Justiça Frederico Meinberg, que está à frente do inquérito, “o Ministério Público entende que vazamento de dados envolvendo companhias abertas configura fato relevante capaz de influir de modo ponderável na cotação dos valores mobiliários”.

Revogado o Certificado Digital do Banco Inter

Hoje mais uma “bomba” caiu sobre a instituição. O blog Segurança Digital do G1 publicou artigo onde afirma que um certificado digital do Banco Inter, junto com sua chave privada, foi publicado em um site e posteriormente revogado. Esse fato é incapaz de provar a existência de vazamento de dados. No entanto, o caso coloca novamente a instituição nos holofotes de forma negativa, porque “levanta questões sobre as práticas de segurança da instituição financeira, pois, como é um dado sigiloso, essa chave não deveria ter sido exposta.”

De acordo com a norma de certificação digital na internet, existem 11 justificativas para que um certificado seja revogado. Entre todos os motivos possíveis, foi constatada a razão de número 1 “chave comprometida”, que é mais específica sobre vazamento de chave.

Resposta do Banco Inter ao suposto vazamento

Desde a primeira publicação de matérias que apontam o vazamento, a resposta do banco a todos os veículos tem sido uma só: “não houve comprometimento da estrutura de segurança do banco”, seguido de recusa a comentar sobre os casos envolvendo a instituição.

Pelo jeito, o desfecho do caso ainda está longe do fim. Nós iremos atualizar esse artigo com as novas informações e repercussões em relação ao suposto vazamento, já que é um assunto de interesse de toda a comunidade.

Além das notícias, fique não perca as melhores promoções e cupons de desconto da internet. Faça o seu cadastro no site ou baixe o nosso aplicativo de ofertas.