Falhas expõem clientes do Banco do Brasil e do Bradesco

falha-bb-bradesco-moipOs dados privados de milhões de clientes ficaram expostos devido à falhas de segurança nos sites do Bradesco, Banco do Brasil, serviço de pagamentos Moip e da Boa Vista serviços ( cadastro de devedores SCPC).

As falhas foram descobertas por um analista de sistemas de 21 anos, Carlos Eduardo Santiago, que alega ter avisado ao Moip, à Boa Vista e ao Bradesco há cerca de um ano sobre os problemas, mas foi ignorado.

Até a quinta-feira passada, a seção de seguros residenciais do site do Banco do Brasil permitia que qualquer segurado pelo banco visualizasse nome, CPF, endereço, email, telefone, agência e número da conta de outro segurado. Fato mais intrigante é que isso podia ser feito sem nenhum conhecimento avançado de informática. Uma simples alteração no código, que pode ser visualizado em qualquer desses navegadores mais modernos, permitia a visualização completa dos dados.

Estima-se que o número de clientes expostos do Banco do Brasil seja de 1,85 milhão, mas o banco disse que o problema não teve associação com qualquer tipo de transação financeira, sendo assim, não trouxe risco para os clientes.

No Bradesco, diversos boletos bancários estão visíveis e expõem informações de clientes como nome, endereço, CPF, agência, número da conta, valor  e empresa que receberá o crédito. É possível acessar esses documentos por meio de uma pesquisa simples no Google e trata-se de uma URL aberta, ou seja, um link desprotegido.

O Bradesco alega que o sistema é utilizado há mais de dez anos e o banco nunca registrou problemas a esse respeito.

Essa mesma falha também ocorre no sistema Moip de pagamento.  A empresa diz que não possui responsabilidade sobre os links que dão acesso aos boletos. Segundo ela, ” As URLs dos boletos foram disponibilizadas pelos próprios vendedores em seus sites”. Vale lembrar que o Moip processa cerca de 300 mil transações virtuais por mês.

O site da Boa Vista serviços, responsável pelo SCPC, apresentava uma falha semelhante até quinta passada. A seção de consulta a débitos permitia que as dívidas relacionadas a um CPF pudessem ser vistas por qualquer pessoa. Segundo a empresa, são cerca de 2,5 milhões de usuários cadastrados no sistema. A Boa Vista diz já ter corrigido o problema na última semana.

About Pedro Costa