Diferentes
brechas de segurança encontradas nos sites do Banco do Brasil, do
Bradesco, do serviço de pagamentos Moip e da Boa Vista Serviços
(administradora do cadastro de devedores SCPC) expuseram recentemente
dados privados de milhões de pessoas. Os problemas foram descobertos
pelo analista de sistemas Carlos Eduardo Santiago, 21, que os demonstrou
à Folha após ter sido ignorado pelas empresas. "Ao Moip, à Boa Vista e
ao Bradesco, relatei as questões há cerca de um ano." "Descobri o erro
do Banco do Brasil no dia 8, mesma data de quando avisei a empresa por
meio do SAC, mas fui ignorado. Decidi, então, verificar as outras
falhas, e elas ainda existiam", conta. A seção de seguros residenciais
da agência virtual do Banco do Brasil permitia, até a quinta-feira
passada, que qualquer pessoa com acesso à área (cliente segurado pelo
banco ou em posse desses dados) visualizasse CPF, nome, endereço,
telefone, e-mail, agência e número da conta de outro segurado, por meio
de uma simples alteração no código, que pode ser visualizado com
qualquer navegador moderno -não demanda ferramenta ou conhecimento
avançados.
Segundo
Santiago, o número de clientes do Banco do Brasil que foram expostos
pelo erro é de 1,85 milhão, estimativa com base na sequência do código
dos documentos disponíveis durante pelo menos duas semanas. Contatada
pela Folha na quinta, a companhia solucionou a falha no mesmo dia. Por
meio de sua assessoria de imprensa, o Banco do Brasil disse que "o
problema não teve associação com qualquer tipo de transação financeira" e
que, por isso, "não trouxe risco para os clientes." Um grande número
de boletos bancários gerados pelo Bradesco está visível e expõe
informações de clientes do banco, como CPF, nome, endereço, agência e
número da conta, além do valor e do estabelecimento do pagamento em
questão.
Consultada, a
companhia disse que esse sistema "é utilizado há mais de dez anos e o
banco nunca registrou fraude ou problema de clientes." A brecha permite
que os documentos sejam encontrados até por meio de uma pesquisa no
Google e consiste em uma URL aberta (um link de internet desprotegido).
Falha semelhante foi verificada no site do Moip, que presta serviços de
pagamento on-line para diversas empresas, e permitia ver o mesmo tipo de
dado. O link desprotegido, que é hospedado pelo Moip, continua
disponível, mas a empresa diz não ter responsabilidade sobre ele. "As
URLs dos boletos em questão foram disponibilizadas pelos próprios
vendedores em seus sites." Em sua página, a companhia diz processar 300
mil transações virtuais por mês.
DÉBITO À VISTA
A seção de consulta a débitos do site da Boa Vista serviços, responsável pelo SCPC, permitia até a quinta passada, quando o erro foi corrigido, que fossem visualizadas as dívidas relacionadas a um CPF. Segundo a empresa, cerca de 2,5 milhões de pessoas estão catalogadas no sistema.
A seção de consulta a débitos do site da Boa Vista serviços, responsável pelo SCPC, permitia até a quinta passada, quando o erro foi corrigido, que fossem visualizadas as dívidas relacionadas a um CPF. Segundo a empresa, cerca de 2,5 milhões de pessoas estão catalogadas no sistema.
Fonte: Folha de S.Paulo.
Nenhum comentário:
Postar um comentário