Segundo informações reveladas pelo site TecMundo nesta sexta-feira (04/05), o Banco Inter (Intermedium), um dos maiores 100% digital do Brasil, passou por um ataque hacker que deixou expostos os dados de 100 mil correntistas. A maioria desses dados estão em um arquivo de 40 GB onde é possível ter acesso a fotos de cheques, documentos, transações, emails, informações pessoais, chaves de segurança e senhas.

De acordo com o que foi revelado, um hacker identificado pelo nome de "John" enviou um manifesto no qual detalhou a técnica que usou para ter acesso a esses dados e quais foram as suas motivações. Além disso, ele explicou que entrou em contato com o Banco Inter para negociar valores para que o caso não fosse divulgado.

O hacker garante que o arquivo de 40 GB possui dados de aproximadamente 300 mil pessoas, sendo que o Banco Inter negou a invasão:

O Banco Inter segue as regulamentações de segurança aplicáveis à natureza do serviço prestado, estando em conformidade com as boas práticas no que se refere à proteção dos dados pessoais de seus clientes. Nesse sentido, busca constantemente o aperfeiçoamento de sua segurança digital. Inclusive, é pioneiro na migração de dados para computação em nuvem junto ao seu parceiro Amazon Web Services

Mesmo assim, o hacker afirma que o sistema bancário brasileiro não está pronto para uma migração para a nuvem e essa brecha prova isso:

Estamos quase às vésperas da decisão do grupo de trabalho que definirá as regras e sob quais condições e limites os bancos poderão adotar Cloud Computing em larga escala. Enquanto isso, as FINTECHs se antecipam e nadam de braçada nessa seara, sem esperar a decisão final, e de certa forma pressionando por uma decisão em favor da adoção ampla e pouco restrita da nuvem. Nesse estudo de caso, abordaremos o Banco Inter (antes Banco Intermedium) que por sua vez também está às vesperas de um lançamento de oferta pública inicial (IPO no inglês) na bolsa de valores. Buscando ser um unicórnio FINTECH de fato. Mas estamos prontos para esse salto?

John também deixa claro que entrou em contato com o Banco Inter para informar do problema para que a instituição consertasse a brecha de segurança. No entanto, ele também exigiu uma quantia em dinheiro para que o caso não fosse divulgado para a imprensa. Como não houve um pagamento, o hacker está vendendo as informações completas e de maneira exclusiva por 10 bitcoins (R$ 330 mil).

No arquivo de 40 GB que foi vazado para a imprensa, 30 GB são de informações pessoais como ficha cadastral, comprovantes, senhas de cartão (antigas e novas, registro de troca de senha), número de cartão e até mesmo CVV e data de expiração/validade dos cartões. Além disso, foram vazados outros dados como:

• Dados cadastrais, incluindo código de segurança e senha

• Senha dos cartões Mastercard

• Fluxo de troca de senha do cartão Mastercard

• Todas as transações, sem exceção, realizadas pelo CD Pro

• Todos os documentos e contratos de serviço, em formato pdf e tiff (imagem)

• Fotografias em formato tiff de cheques de clientes

• Usuário e senha de FTP do banco Inter

• Chaves de API e urls usadas para validar a senha

• Código fonte do novo core banking

O hacker explica que conseguir esses dados não foi uma tarefa fácil, mas que teve acesso ao arquivo de 40 GB tendo um pouco de persistência e paciência:

Um incidente sem precedentes, com números de cartão de crédito, cvv, senha de cartão, conta corrente, senhas de conta corrente, fotos de documentos, bases cadastrais inteiras. Sigilo bancário, saldo, transações, dados pessoais. Sabe aquele lema da internet, quando o serviço é gratuito, o produto é você? Pois bem, no caso da conta gratuita do Inter, o produto 'você' agora potencialmente pertence a todos que tiveram acesso a esses dados, ou, com base nesse artigo, conseguirem explorar e potencialmente aumentar a taxa de exfiltração

Emilio Simoni, diretor do dfndr lab, laboratório da PSafe especializado em cibersegurança, comentou o assunto e informou algumas dicas que podem ser seguidas nesse caso:

uma das primeiras medidas é trocar todas as senhas utilizadas e usar combinações que não sejam de fácil descoberta (como data de aniversário, por exemplo), além de ter senhas únicas para cada serviço. Caso o vazamento de dados pessoais se confirme, é muito importante que as pessoas redobrem a atenção em relação a quaisquer comunicações que chegarem por correios ou e-mail, para se certificarem de que não são comunicações falsas, como boletos, por exemplo. Em relação ao CPF, é possível buscar serviços de monitoramento de utilização do documento

Além disso, ele alerta que os correntistas devem ficar atentos a qualquer uso suspeito de seus dados:

A pessoa que desconfiar que teve seus dados vazados deve entrar em contato com sua agência bancária imediatamente e solicitar o bloqueio de suas contas e/ou cartões, para evitar que haja qualquer movimentação fraudulenta. Após isso, é preciso alterar as credenciais de acesso (senhas, número do cartão, etc)