O banco HSBC, sétimo maior do mundo, sofreu uma invasão em seus servidores na sua filial dos Estados Unidos, país onde está em 15o lugar entre as instituições bancárias. O aviso sobre o incidente começou a ser distribuído aos clientes na última sexta-feira, dia 2 e a Justiça da Califórnia também foi notificada. Por enquanto só existem as informações oficiais. Conforme o texto da carta aos clientes, “o HSBC tomou conhecimento de contas acessadas por usuários não autorizados entre 4 de outubro de 2018 e 14 de outubro de 2018. Quando o HSBC descobriu que sua conta on-line foi afetada, suspendemos o acesso on-line para impedir novas entradas não autorizadas de sua conta (…) As informações que podem ter sido acessadas incluem seu nome completo, endereço para correspondência, número de telefone, endereço de e-mail, data de nascimento, números de contas, tipos de conta, saldos de contas, histórico de transações, informações da conta beneficiária e histórico de demonstrativos, quando disponíveis”.
Em outras palavras, todos os detalhes importantes da conta.
Um porta-voz do HSBC respondeu a uma consulta do site Databreaches e explicou que no mês passado a equipe de monitoramento de fraudes detectou evidências de que uma porcentagem relativamente pequena de contas on-line (menos de 1% das contas dos EUA) estava sendo acessada por usuários não autorizados. Acrescentou que o banco reagiu suspendendo imediatamente o acesso on-line e pedindo aos usuários afetados que entrassem em contato.
O email diz ainda que o banco reforçou as medidas de segurança, exigindo que os clientes agora insiram informações pessoais adicionais junto com seu nome de usuário e senha.
Então, parece que o HSBC está implantando autenticação multifatorial.
O conteúdo da resposta dá a entender que o pessoal do HSBC acredita que a invasão foi feita por meio de um ataque do tipo “credential stuffing”. Nesse caso, a ferramenta de ataque faz uma espécie de “brute force” lançando enorme número de logins e senhas até acertar um. A pessoa que escreveu a resposta acredita que os dados para esse “credential stuffing” não foram obtidos nos servidores do HSBC.
[box type=”note” style=”rounded” border=”full”] BRECHA DE 2015 O HSBC sofreu um vazamento em 2015 na sua carteira imobiliária. Foram expostos e vazados os dados de um número não revelado de clientes, incluindo nomes, números de seguridade social, números de contas bancárias e alguns números de telefone. O banco alegou que eles foram expostos por engano entre o final de 2014 e o início de 2015. Mas o banco só descobriu o problema em 27 de março de 2015. A notificação dos clientes começou somente em 9 de abril. Todos os clientes ganharam um ano gratuito de monitoramento de crédito e proteção de identidade.[/box]
