Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m
data-leakage-3921445_1280.jpg

Banco PAN confirma incidente na área de cartões. Há vazamento

Amostra de 1GB contém dados de 64 mil pessoas; cibercriminosos teriam um total de 25GB de dados da área de cartões do banco
Paulo Brito
15/04/2022

O Banco PAN confirmou nesta manhã ao CISO Advisor a ocorrência de um incidente envolvendo a sua área de cartões. O incidente havia sido apontado por uma fonte do CISO Advisor. Ao mesmo tempo, uma série de posts foi publicada pelo jornalista Felipe Payão (@felipepayao) em sua conta do Twitter, com base em material recebido de pessoas que tinham conhecimento do incidente. Um dos materiais foi um arquivo de 1GB contendo dados de 64 mil contas, segundo os posts. O material de posse de cibercriminosos teria um total de 25GB.

Veja isso
Bancos e cartões tiveram 210 mil tentativas de fraude em janeiro
5 bancos do Canadá ficam offline em misteriosa interrupção

O banco explicou que a origem do incidente estava numa plataforma de tecnologia utilizada pela sua área de atendimento a clientes. O banco PAN acrescentou que não houve invasão à sua infraestrutura ou indisponibilidade do seu sistema com origem nesse incidente. A fonte do CISO Advisor que confirmou o incidente com o banco acrescentou que a organização estaria sendo vítima de uma tentativa de extorsão, com negociações iniciadas uma semana atrás. Os cibercriminosos teriam exigido dinheiro para não fazer o vazamento dos dados.

A fonte do CISO Advisor supõe que o incidente agora confirmado pelo PAN tenha origem na existência de informações ou credenciais que estiveram em posse, possivelmente, de um insider, ou seja, alguém que trabalha na organização ou para ela. Leia abaixo o comunicado do banco PAN:

Detectamos recentemente uma fragilidade na plataforma de um fornecedor de tecnologia, utilizada na Central de Atendimento a clientes do segmento de cartões. Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa.  

De acordo com a apuração em curso, já foi possível constatar que não houve indisponibilidade de sistema ou invasão à infraestrutura do Banco, tendo sido confirmado, no entanto, que a exploração da vulnerabilidade permitiu a cópia não autorizada de dados cadastrais, de limite disponível e saldo devedor, sem que tenham sido expostos dados completos de cartão, senhas ou qualquer dado que incorra em risco financeiro direto para o cliente.  

Reforçamos que a segurança das informações é nossa prioridade e todas as autoridades competentes foram notificadas. 

A fonte consultada pelo CISO Advisor acredita que a instituição financeira já tenha denunciado o incidente e os detalhes às autoridades policiais e que exista uma investigação em andamento.

É razoável supor que os dados tenham sido enviados ao jornalista por alguém que teve contato com o material em poder dos cibercriminosos: os posts publicados dizem que os dados contêm “nome, cpf, nascimento e endereço, número da conta, saldo na conta, crédito aprovado e valor da fatura” e um deles contém uma imagem exibindo dados ocultos por tarjas pretas e nomes de campos tais como “address2_telephone1” e “donotemail”. Os campos com os nomes “DoNotPhone” e “YomiFullName” chamaram a atenção de usuários no Twitter. Um deles disse: “a estrutura de dados da amostra remete ao Microsoft Dynamics, minha inferência está relacionada aos campos (DoNotPhone e YomiFullName)”.

Mesmo antes da confirmação do incidente pelo PAN, usuários do Twitter já levantavam suspeitas de que esse banco fosse a vítima: por volta das 10h de hoje, o usuário @rodrigoney_ tuitou:“tem um campo chamado “msdyn_gdproptout” que literalmente quer dizer “Microsoft Dynamics GDPR Opt Out”. De acordo com o site da Microsoft, o PAN usa Dynamics 365 e tem um número bem perto 22M clientes…Curioso para saber se meu chute foi certo😜 No entanto, outros usuários informaram que muitos outros bancos utilizam essa solução da Microsoft.

Em comunicado ao CISO Advisor a Microsoft informou:

“A segurança dos nossos produtos e serviços é nossa prioridade. Nós investigamos e não identificamos nenhuma falha em nossa plataforma”.

O banco PAN, antes do Grupo Sílvio Santos, foi adquirido em 2011 pelo Banco BTG Pactual, que passou a compartilhar o seu controle com a Caixa Participações S.A. – Caixapar, subsidiária integral da Caixa Econômica Federal.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)