Banco do Brasil: falha de segurança grave põe investidores em risco
Dados de cerca de 153 mil investidores com carteiras custodiadas pelo Banco do Brasil tiveram seus dados expostos. A causa é uma falha grave de segurança no site da Previdência Privada do banco. Mesmo sem muito conhecimento técnico, invasores poderiam remover e até editar os favorecidos.
Segundo reportagem do site especializado Olhar Digital, publicada nesta quinta-feira (7), o problema está na fragilidade do sistema de endereços para acessar um cadastro online. De acordo com uma fonte anônima, seria possível manipular o link de um cliente para invadir o registro dos outros.
Com uma simples edição do endereço, o invasor conseguiria ver nome, endereço, CPF, data de nascimento, e-mail e telefone, entre outros dados do cliente. Além disso, ficariam expostos os nomes de entidades selecionadas para portabilidade da conta, assim como a lista de beneficiários. O valor bruto do investimento também ficaria visível.
Banco do Brasil nega interceptação
Segundo o Banco do Brasil, a possibilidade de editar os favorecidos da conta não permitiriam roubar os investimentos dos clientes. Segundo a instituição, os nomes se referem aos recebedores do valor em caso de morte.
Esse registro de beneficiários existe para o caso de falecimento do participante e tem o objetivo de estabelecer quem receberá a pensão em caso de morte do participante. Mesmo nesses casos, ainda será necessária a apresentação de documentos como atestado de óbito, documentos pessoais dos beneficiários e, se for o caso, decisões judiciais referentes a espólio.
O Banco do Brasil admitiu a falha e disse ter tirado o site do ar. No entanto, ao mesmo tempo se esquivou de responsabilidade e disse que a “BB Previdência é uma subsidiária da instituição, que possui independência administrativa e mantém site, sistemas e equipes de tecnologias próprios e independentes do Banco do Brasil”.
Em nota, a instituição garante que nenhum saque foi realizado para contas de CPFs diferentes dos titulares. Os 153 mil investidores expostos equivalem à carteira integral de clientes da Previdência Privada do Banco do Brasil.
Certificação falha
O ambiente exposto possui certificação HTTPS, o que coloca em xeque seu nível de segurança. Mesmo com o selo de “Seguro”, a página permite que qualquer pessoa sem login veja, exclua e altere dados.
O problema aparenta ser até mais grave do que aqueles que ameaçam corretoras de criptomoedas. Com exceção de antigos casos mais de invasão dos servidores, hoje as empresas não correm risco dessa magnitude. As maiores exchanges apresentam alto grau de investimento em segurança.
A Binance, por exemplo, possui desde setembro de 2019 a certificação ISO/IEC 27001, que garante alto nível de proteção para arquivos na nuvem. O Banco do Brasil, assim como outras instituições financeiras pouco digitalizadas, ainda não tem o mesmo selo.
O artigo Banco do Brasil: falha de segurança grave põe investidores em risco foi visto pela primeira vez em BeInCrypto.