29 Setembro 2016
Um cliente do Itaú descobriu uma falha de segurança no sistema da LocalCred, uma empresa de envios de cobrança de débitos em aberto. A vulnerabilidade deixou expostos os dados contidos em mais de 360 mil avisos a clientes do banco, e também do HSBC, Cred-System, Banco Pan e LuizaCred.
Hélio Pimentel, um analista de sistemas que tinha uma dívida com o Itaú, recebeu uma cobrança por e-mail da LocalCred, com um link que direcionava para o boleto para realizar o pagamento. Porém, ele percebeu que a identificação da sua cobrança estava contida na URL, por isso bastou alterar a sequencia na combinação final para explorar a vulnerabilidade e obter acesso aos avisos de outras pessoas.
Até aí, nada de grave já que ninguém quer pagar as dívidas de outras pessoas, porém, os documentos também mostravam o nome e CPF do cliente, CNPJ de empresas, além de alguns endereços.
O analista então resolveu criar um programa que agilizasse o processo. Assim, ele conseguiu extrair todos os boletos de um total de 361.479: 231.648 de clientes do Itaú, 77.029 da Cred-System, 42.648 do Banco Pan, 6.545 do HSBC e 3.609 da LuizaCred.
Apesar de encontrar os boletos dessas empresas, elas não são clientes da LocalCred, com exceção do Itaú. Os boletos são fornecidos à cobradora pela MCM Solutions. Para Pimentel, os dados poderiam ser utilizados por alguém mal intencionado que poderia criar golpes utilizando os dados pessoais dos clientes para entrar em contato com eles, simulando acordos. O analista comunicou a vulnerabilidade à LocalCred.
Apesar do problema, ninguém parece muito interessado em assumir alguma responsabilidade pela falha. A fornecedora, MCM, diz que só é responsável pelo processamento e envio do material, e segundo ela, quem determina os níveis de segurança é a empresa contratante.
O Itaú e Luizacred afirma que o envio de boletos através desse sistema era apenas “um teste de funcionalidade” e negou que houvesse a exposição de dados dos clientes, e o Banco Pan se limitou a informar que já não é cliente da LocalCred desde julho de 2014.
Segundo a LocalCred, esse canal de envio foi encerrado.
Comentários