Falhas de segurança nos sites do Bradesco e Banco do Brasil expõem dados de clientes
Falhas de segurança existentes nos sites do Bradesco e Banco do Brasil expuseram dados de milhões de clientes. As brechas permitiam o acesso a determinadas informações pessoais, como CPF, nome completo, telefone e endereço. Os problemas também ocorriam no serviço de pagamentos Moip e na Boa Vista Serviços, responsável por administrar o Serviço Central de Proteção ao Crédito (SCPC).
As brechas foram descobertas pelo analista de sistemas Carlos Eduardo Santiago e algumas delas existiam há pelo menos um ano. Ele relatou os problemas por meio do serviço de atendimento das empresas, mas foi ignorado, então decidiu contar os detalhes à Folha.
No Bradesco, boletos bancários estão visíveis por qualquer um e podem ser encontrados através de pesquisas no Google. Os documentos contêm dados como CPF, nome completo, endereço e número da conta. Essa falha não é muito diferente da encontrada recentemente nos sites da Telexfree e BBOM. Alterando os parâmetros da URL, é possível acessar boletos de outros clientes.
Só que o Bradesco diz que esta não é uma falha de segurança, mas sim uma característica do sistema: as URLs permitem que clientes de lojas online conveniadas ao banco acessem seus boletos para fazer o pagamento. O Bradesco afirma que a URL é “passível de aparecer no Google como qualquer outra página” e declara que nunca teve problemas com fraudes, mesmo usando o sistema há mais de 10 anos.
Boletos bancários do Moip também estão acessíveis, mas o serviço declarou que as URLs encontradas em buscas estavam sendo disponibilizadas pelos vendedores em seus sites, o que permitiu a indexação pelo Google. Os boletos gerados a partir do Moip seriam automaticamente removidos das buscas; de qualquer forma, o serviço entrou em contato com o Google para evitar que os boletos sejam indexados no futuro.
Já o problema no Banco do Brasil era um pouco mais restrito. Ele podia ser explorado apenas por quem tivesse acesso à seção de seguros residenciais da agência virtual e permitia a visualização de dados como agência e número da conta, CPF e nome. A brecha permaneceu no ar por pelo menos duas semanas, mas foi corrigida assim que o banco recebeu as informações da Folha. Não houve risco para os clientes, segundo o banco.
A Boa Vista Serviços, que administra o cadastro de devedores SCPC, possui um sistema que permite que 2,5 milhões de pessoas consultem dívidas relacionadas ao seu CPF. O problema é que uma pessoa poderia consultar dívidas de outro CPF, algo que não é permitido pelos termos de uso do próprio serviço. A falha, que segundo a empresa exigia conhecimentos técnicos, foi corrigida.
As brechas foram descobertas pelo analista de sistemas Carlos Eduardo Santiago e algumas delas existiam há pelo menos um ano. Ele relatou os problemas por meio do serviço de atendimento das empresas, mas foi ignorado, então decidiu contar os detalhes à Folha.
No Bradesco, boletos bancários estão visíveis por qualquer um e podem ser encontrados através de pesquisas no Google. Os documentos contêm dados como CPF, nome completo, endereço e número da conta. Essa falha não é muito diferente da encontrada recentemente nos sites da Telexfree e BBOM. Alterando os parâmetros da URL, é possível acessar boletos de outros clientes.
Só que o Bradesco diz que esta não é uma falha de segurança, mas sim uma característica do sistema: as URLs permitem que clientes de lojas online conveniadas ao banco acessem seus boletos para fazer o pagamento. O Bradesco afirma que a URL é “passível de aparecer no Google como qualquer outra página” e declara que nunca teve problemas com fraudes, mesmo usando o sistema há mais de 10 anos.
Boletos bancários do Moip também estão acessíveis, mas o serviço declarou que as URLs encontradas em buscas estavam sendo disponibilizadas pelos vendedores em seus sites, o que permitiu a indexação pelo Google. Os boletos gerados a partir do Moip seriam automaticamente removidos das buscas; de qualquer forma, o serviço entrou em contato com o Google para evitar que os boletos sejam indexados no futuro.
Já o problema no Banco do Brasil era um pouco mais restrito. Ele podia ser explorado apenas por quem tivesse acesso à seção de seguros residenciais da agência virtual e permitia a visualização de dados como agência e número da conta, CPF e nome. A brecha permaneceu no ar por pelo menos duas semanas, mas foi corrigida assim que o banco recebeu as informações da Folha. Não houve risco para os clientes, segundo o banco.
A Boa Vista Serviços, que administra o cadastro de devedores SCPC, possui um sistema que permite que 2,5 milhões de pessoas consultem dívidas relacionadas ao seu CPF. O problema é que uma pessoa poderia consultar dívidas de outro CPF, algo que não é permitido pelos termos de uso do próprio serviço. A falha, que segundo a empresa exigia conhecimentos técnicos, foi corrigida.
Últimas Notícias
Meio ambiente
Bagaço de cana vira embalagem ecológica para equipamentos eletrônicos
Polícia
Ação integrada apreende adolescente com cocaína perto do Marco dos Corais
Educação / Cultura
Encenação da Paixão de Cristo emociona público em Arapiraca; espetáculo também ocorre neste sábado, 19
Educação / Cultura
Povo Karapotó Plaki-ô resgata tradição milenar com projeto apoiado pela Secult
Polícia
Confirmada a identidade de jovem encontrada morta em canavial na AL-101 Sul
Vídeos mais vistos
Geral
Morte em churrascaria de Arapiraca
TV JÁ É
Festa termina com jovem morta e dois feridos no Agreste alagoano
TV JÁ É
Homem que conduzia motocicleta pela contramão morre ao ter veículo atingido por carro, em Arapiraca
TV JÁ É
Reinauguração Supermercado São Luiz
TV JÁ É