Banco do Brasil: falha de segurança grave põe investidores em risco

Compartilhar Artigo
EM RESUMO
  • Vulnerabilidade permitia editar favorecidos de investimentos

  • Banco admitiu problema e tirou site do ar

  • Toda a carteira de investidores da Previdência Privada ficou exposta

  • promo

    Estamos compartilhando informação no nosso grupo de Telegram , siga-nos! E obtenha sinais de trading e análise de criptomoedas diariamente!

The Trust Project é um consórcio internacional de veículos de notícias que criam padrões de transparência.

Dados de cerca de 153 mil investidores com carteiras custodiadas pelo Banco do Brasil tiveram seus dados expostos. A causa é uma falha grave de segurança no site da Previdência Privada do banco. Mesmo sem muito conhecimento técnico, invasores poderiam remover e até editar os favorecidos.



Segundo reportagem do site especializado Olhar Digital, publicada nesta quinta-feira (7), o problema está na fragilidade do sistema de endereços para acessar um cadastro online. De acordo com uma fonte anônima, seria possível manipular o link de um cliente para invadir o registro dos outros.

Com uma simples edição do endereço, o invasor conseguiria ver nome, endereço, CPF, data de nascimento, e-mail e telefone, entre outros dados do cliente. Além disso, ficariam expostos os nomes de entidades selecionadas para portabilidade da conta, assim como a lista de beneficiários. O valor bruto do investimento também ficaria visível.



Banco do Brasil nega interceptação

Segundo o Banco do Brasil, a possibilidade de editar os favorecidos da conta não permitiriam roubar os investimentos dos clientes. Segundo a instituição, os nomes se referem aos recebedores do valor em caso de morte.

Esse registro de beneficiários existe para o caso de falecimento do participante e tem o objetivo de estabelecer quem receberá a pensão em caso de morte do participante. Mesmo nesses casos, ainda será necessária a apresentação de documentos como atestado de óbito, documentos pessoais dos beneficiários e, se for o caso, decisões judiciais referentes a espólio.

O Banco do Brasil admitiu a falha e disse ter tirado o site do ar. No entanto, ao mesmo tempo se esquivou de responsabilidade e disse que a “BB Previdência é uma subsidiária da instituição, que possui independência administrativa e mantém site, sistemas e equipes de tecnologias próprios e independentes do Banco do Brasil”.

Em nota, a instituição garante que nenhum saque foi realizado para contas de CPFs diferentes dos titulares. Os 153 mil investidores expostos equivalem à carteira integral de clientes da Previdência Privada do Banco do Brasil.

Certificação falha

O ambiente exposto possui certificação HTTPS, o que coloca em xeque seu nível de segurança. Mesmo com o selo de “Seguro”, a página permite que qualquer pessoa sem login veja, exclua e altere dados.

O problema aparenta ser até mais grave do que aqueles que ameaçam corretoras de criptomoedas. Com exceção de antigos casos mais de invasão dos servidores, hoje as empresas não correm risco dessa magnitude. As maiores exchanges apresentam alto grau de investimento em segurança.

A Binance, por exemplo, possui desde setembro de 2019 a certificação ISO/IEC 27001, que garante alto nível de proteção para arquivos na nuvem. O Banco do Brasil, assim como outras instituições financeiras pouco digitalizadas, ainda não tem o mesmo selo.

Isenção de responsabilidade

Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
Share Article

Sou jornalista e especialista, pela USP-SP, em Comunicação Digital. Já trabalhei em rádio e impresso, mas boa parte da minha experiência vem do online. Desde 2013, colaboro regularmente com o Grupo Globo na área de tecnologia, onde já cobri assuntos diversos da área, de lançamentos de produtos aos principais ataques hackers dos últimos anos. Também já prestei consultoria em projetos do Banco Mundial e da ONU, entre outras instituições com foco em pesquisa científica. Entrei no mundo das criptomoedas principalmente na cobertura de ataques cibernéticos e golpes no Brasil. Atualmente, faço mestrado em Comunicação Científica na Universidade de Granada, na Espanha. Escrevo para o BeInCrypto desde abril de 2020.

SEGUIR O AUTOR

Sinais grátis de compra e venda de criptos, análises do Bitcoin e chat com traders. Entre já no nosso Telegram!

Vamos lá

Sinais grátis de compra e venda de criptos, análises do Bitcoin e chat com traders. Entre já no nosso Telegram!

Vamos lá