Segurança Digital

Especialista da iBLISS comenta brechas de segurança que expuseram clientes de instituições financeiras

O portal de tecnologia da Folha de S.Paulo publicou recentemente que brechas de segurança em sites de grandes instituições financeiras, como o Banco do Brasil, o Bradesco e o SCPC, expuseram dados privados de milhões de pessoas.

Segundo a Folha, a seção de seguros residenciais da agência virtual do Banco do Brasil permitia que qualquer segurado visualizasse CPF, nome, endereço, telefone, e-mail, agência e número da conta de outro segurado, por meio de uma simples alteração no código. “O problema não teve associação com qualquer tipo de transação financeira. Portanto, não trouxe riscos para clientes.”, disse a assessoria de imprensa do Banco do Brasil à Folha de S.Paulo.

Mas o especialista da iBLISS, Alexandro Silva (Alexos), alerta que “no caso de uma falha de exposição de informações sensíveis, os dados apresentados podem ser utilizados para ataques de engenharia social, phishing scam, entre outros”. Portanto, mesmo que o problema não tenha relação direta com transações financeiras, pode ter consequências futuras para as vítimas.

Já o Bradesco – que tem um grande número de boletos bancários visível para qualquer pessoa, expondo informações de clientes do banco, como CPF, nome, endereço, agência e número da conta, além do valor e do estabelecimento do pagamento em questão – disse, em nota à Folha, que não se trata de uma falha, já que os dados expostos não são confidenciais. “Esses dados podem ser considerados públicos pelas organizações citadas, mas devem ser implementadas medidas de proteção, como validação de dados, para garantir a mínima exposição dos mesmos.”, explica Alexos.

Além disso, segundo a declaração do Bradesco, os dados são acessíveis através de um canal encriptado: “a URL é segura e utiliza o protocolo de segurança SSL, autenticado com certificado digital válido, atendendo às melhores práticas de segurança”.

Informações sobre o Certificado Digital do site do Banco Bradesco.
Informações sobre o Certificado Digital do site do Banco Bradesco.

Constatamos, porém, que estão sendo utilizadas cifras fracas e vulneráveis para o protocolo SSL/TLS, conforme relatado no post O mito do cadeado de segurança.

Análise do protocolo SSL do site do Banco Bradesco, indicando o uso de cifras fracas, que apresentam vulnerabilidades conhecidas.
Análise do protocolo SSL do site do Banco Bradesco, indicando o uso de cifras fracas, que apresentam vulnerabilidades conhecidas.

No quadro a seguir, entenda melhor as falhas divulgadas pela Folha e saiba seu estado atual:

Brechas de segurança em bancos_Folha
Imagem: Folha de S. Paulo

fonte:
Folha de S.Paulo