{"id":134,"date":"2015-05-25T17:39:09","date_gmt":"2015-05-25T20:39:09","guid":{"rendered":"http:\/\/blog.batori.com.br\/?p=134"},"modified":"2015-05-25T17:39:10","modified_gmt":"2015-05-25T20:39:10","slug":"brecha-de-site-expoe-360-mil-boletos-do-itau-e-mais-4-bancos","status":"publish","type":"post","link":"http:\/\/www.batori.com.br\/blog\/brecha-de-site-expoe-360-mil-boletos-do-itau-e-mais-4-bancos\/","title":{"rendered":"Brecha de site exp\u00f5e 360 mil boletos do Ita\u00fa e mais 4 bancos"},"content":{"rendered":"<p><em>Analista de sistema descobriu falha ap\u00f3s receber cobran\u00e7a de d\u00edvida.<br \/>\nFalha revela cobran\u00e7as do HSBC, Cred-System, Banco Pan e Luizacred.<br \/>\n<\/em><br \/>\nUma brecha de seguran\u00e7a em um site brasileiro de envio de cobran\u00e7as de d\u00e9bitos em aberto exp\u00f4s mais de 360 mil avisos a clientes de Ita\u00fa, HSBC, Cred-System, Banco Pan e LuizaCred. Ap\u00f3s receber um desses boletos distribu\u00eddos pelo sistema, um desses devedores descobriu a vulnerabilidade e comunicou ao G1.<\/p>\n<p>Esses documentos mostravam o nome e CPF do cliente, CNPJ (no caso de empresas) e os endere\u00e7os de alguns. Eram acompanhados de d\u00e9bitos com valores a serem pagos.<\/p>\n<p>Por possuir d\u00edvida com o Ita\u00fa, o analista de sistemas H\u00e9lio Pimentel recebeu um e-mail da LocalCred, empresa terceirizada pelo banco para executar cobran\u00e7as. A mensagem continha um link com o boleto para quitar o d\u00e9bito.<\/p>\n<p>Como a identifica\u00e7\u00e3o da cobran\u00e7a de Pimentel estava na URL, bastou mudar a combina\u00e7\u00e3o final da sequ\u00eancia para descobrir avisos de outras pessoas.<\/p>\n<p>Para agilizar o processo, o analista criou um programa que extraiu todos os boletos. Foram 361.479: 231.648 de clientes do Ita\u00fa, 77.029 dos da Cred-System, 42.648 dos do Banco Pan, 6.545 dos do HSBC e 3.609 dos da LuizaCred. A extra\u00e7\u00e3o ocorreu em maio.<\/p>\n<p><strong> Terceiriza\u00e7\u00e3o<\/strong><\/p>\n<p>\u201cAlgu\u00e9m mal intencionado poderia inventar um golpe entrando em contato com estes clientes e simulando acordos\u201d, comentou Pimentel. Depois de identificar a falha, ele comunicou a vulnerabilidade \u00e0 LocalCred.<\/p>\n<p>A empresa presta servi\u00e7os para o Ita\u00fa e os sistemas de envio s\u00e3o fornecidos a ela por outra companhia, a MCM Solutions. Pimentel localizou boletos de Cred-System, Banco Pan, HSBC e LuizaCred. Essas empresas n\u00e3o s\u00e3o clientes da LocalCred, mas de sua fornecedora.<\/p>\n<p><strong>Outro lado<\/strong><\/p>\n<p>A MCM diz ser respons\u00e1vel apenas pelo processamento e envio de material, de acordo com a demanda do solicitante. Quem determina os n\u00edveis de seguran\u00e7a, o que vai ser visto e como ser\u00e1 visto, informa, \u00e9 a empresa contratante.<\/p>\n<p>Contatados pelo G1, Ita\u00fa e Luizacred informaram que o envio dos boletos por esse sistema era \u201cum teste de funcionalidade em que n\u00e3o havia a exposi\u00e7\u00e3o de dados sigilosos dos clientes\u201d. \u201cAs transa\u00e7\u00f5es realizadas pelos clientes nos diversos canais s\u00e3o monitoradas por equipes internas, com o objetivo de prevenir e identificar qualquer situa\u00e7\u00e3o de poss\u00edvel fraude\u201d, afirmou o Ita\u00fa. Segundo a LocalCred, esse canal de envio foi encerrado.<\/p>\n<p>J\u00e1 a Cred-System informou que \u201cn\u00e3o autoriza a divulga\u00e7\u00e3o dos dados de seus clientes, sem a permiss\u00e3o destes\u201d. Comunicou ainda que pode ainda adotar medidas legais, caso entenda que sejam pertinentes. O Banco Pan se limitou a informar que j\u00e1 n\u00e3o \u00e9 cliente da LocalCred desde julho de 2014, e o HSBC n\u00e3o respondeu at\u00e9 a publica\u00e7\u00e3o deste texto.<\/p>\n<p><strong>Vulnerabilidade corriqueira<\/strong><\/p>\n<p>Segundo o colunista de seguran\u00e7a digital do G1, Altieres Rohr, a vulnerabilidade \u00e9 corriqueira, mas n\u00e3o deixa de ser um problema.<\/p>\n<p>Para elevar o n\u00edvel de seguran\u00e7a, a empresa, diz Rohr, deveria fornecer, al\u00e9m do link da p\u00e1gina, um c\u00f3digo \u00fanico para cada um dos clientes acessarem apenas o seu boleto.<\/p>\n<p>J\u00e1 Pimentel, o piv\u00f4 da hist\u00f3ria, diz que chegou a desconfiar de que a LocalCred se tratava de um canal oficial do Ita\u00fa. \u201cCheguei a ficar em d\u00favida porque a mensagem \u00e9 agressiva\u201d, disse. Contribuiu para isso ter sido a primeira vez que a empresa entrava em contato. Em outras tr\u00eas vezes, Pimentel negociou com o banco uma fatura de cart\u00e3o de cr\u00e9dito n\u00e3o paga. Depois do imbr\u00f3glio, promete: \u201cPretendo pagar assim que for poss\u00edvel\u201d.<\/p>\n<p>Fonte: http:\/\/g1.globo.com\/tecnologia\/noticia\/2015\/05\/brecha-de-site-expoe-360-mil-boletos-do-itau-e-mais-4-bancos.html<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Analista de sistema descobriu falha ap\u00f3s receber cobran\u00e7a de d\u00edvida. Falha revela cobran\u00e7as do HSBC, Cred-System, Banco Pan e Luizacred. Uma brecha de seguran\u00e7a em um site brasileiro de envio de cobran\u00e7as de d\u00e9bitos em aberto exp\u00f4s mais de 360 &hellip; <a href=\"http:\/\/www.batori.com.br\/blog\/brecha-de-site-expoe-360-mil-boletos-do-itau-e-mais-4-bancos\/\">Continue lendo <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":125,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/134"}],"collection":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/users\/125"}],"replies":[{"embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/comments?post=134"}],"version-history":[{"count":1,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/134\/revisions"}],"predecessor-version":[{"id":135,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/posts\/134\/revisions\/135"}],"wp:attachment":[{"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/media?parent=134"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/categories?post=134"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.batori.com.br\/blog\/wp-json\/wp\/v2\/tags?post=134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}