Falha em site de cobranças expõe dados de mais de 360 mil clientes Itaú e de outros bancos

Faça login e
comente

Registrar e
publicar

Você está quase pronto! Agora definir o seu nome de usuário e senha.

» Anuncie » Envie uma dica Ei, você é um redator, programador ou web designer? Estamos contratando!

Falha em site de cobranças expõe dados de mais de 360 mil clientes Itaú e de outros bancos

25 de maio de 2015 2

Um cliente do Itaú descobriu uma falha de segurança no sistema da LocalCred, uma empresa de envios de cobrança de débitos em aberto. A vulnerabilidade deixou expostos os dados contidos em mais de 360 mil avisos a clientes do banco, e também do HSBC, Cred-System, Banco Pan e LuizaCred.

Hélio Pimentel, um analista de sistemas que tinha uma dívida com o Itaú, recebeu uma cobrança por e-mail da LocalCred, com um link que direcionava para o boleto para realizar o pagamento. Porém, ele percebeu que a identificação da sua cobrança estava contida na URL, por isso bastou alterar a sequencia na combinação final para explorar a vulnerabilidade e obter acesso aos avisos de outras pessoas.

Até aí, nada de grave já que ninguém quer pagar as dívidas de outras pessoas, porém, os documentos também mostravam o nome e CPF do cliente, CNPJ de empresas, além de alguns endereços.

O analista então resolveu criar um programa que agilizasse o processo. Assim, ele conseguiu extrair todos os boletos de um total de 361.479: 231.648 de clientes do Itaú, 77.029 da Cred-System, 42.648 do Banco Pan, 6.545 do HSBC e 3.609 da LuizaCred.

Apesar de encontrar os boletos dessas empresas, elas não são clientes da LocalCred, com exceção do Itaú. Os boletos são fornecidos à cobradora pela MCM Solutions. Para Pimentel, os dados poderiam ser utilizados por alguém mal intencionado que poderia criar golpes utilizando os dados pessoais dos clientes para entrar em contato com eles, simulando acordos. O analista comunicou a vulnerabilidade à LocalCred.

Apesar do problema, ninguém parece muito interessado em assumir alguma responsabilidade pela falha. A fornecedora, MCM, diz que só é responsável pelo processamento e envio do material, e segundo ela, quem determina os níveis de segurança é a empresa contratante.

O Itaú e Luizacred afirma que o envio de boletos através desse sistema era apenas “um teste de funcionalidade” e negou que houvesse a exposição de dados dos clientes, e o Banco Pan se limitou a informar que já não é cliente da LocalCred desde julho de 2014.

Segundo a LocalCred, esse canal de envio foi encerrado.

Curtir - 0 Tweet - 0 0

Daniele Cavalcante FONTE

Após novos golpes envolvendo bancos, Itaú blinda serviço de segurança por SMS 11

29 Setembro 2016

Itaú sai na frente dos concorrentes e lança aplicativo para abrir conta online 37

16 Agosto 2016

Nubank: "banco" brasileiro confirma desenvolvimento de app para Windows Phone 15

01 Outubro 2015

Bancos incentivarão o empréstimo via dispositivos móveis 6

18 Junho 2015

Comentários

Falha em site de cobranças expõe dados de mais de 360 mil clientes Itaú e de outros bancos

- -
- +
- - Ver no f?rum
Fabiano_Gatao 9 anos atr?s
E o cliente que se lasque.
ver m?s
0 0

Responder
- -
- +
- - Ver no f?rum
Fabiano_Gatao 9 anos atr?s
Ai depois que a malandragem fizer Trambique com nosso nome o Itaú e companhia tira i corpo fora.
ver m?s
0 0

Responder

Android

Celular mais rápido! Ranking TudoCelular com gráficos de todos os testes de desempenho

Android

Celular com a melhor bateria! Ranking TudoCelular com todos os testes de autonomia

Windows

Versão 122 beta do Microsoft Edge com melhorias e atualização de recursos

Economia e mercado

Vídeo gravado por passageiro mostra interior de aeronave após acidente no Japão; assista