Banco português expôs dados sensíveis de clientes

Da Redação
19/06/2024

Pesquisadores do portal Cybernews revelaram ter descoberto uma falha num servidor do Banco Português de Gestão exposto na internet: com a falha de configuração, o servidor estaria permitindo que dados sensíveis de clientes da entidade bancária fossem vistos por terceiros. No dia 2 de maio, a equipe de pesquisa da Cybernews localizou uma configuração incorreta nos sistemas da Nearsoft, fornecedora de soluções bancárias digitais e de governo eletrônico para vários clientes.

O Português de Gestão é um banco pequeno, que opera apenas em Portugal, com ativos da ordem de 94 milhões de euros segundo seu último balanço.

Veja isso
PCI DSS 4.0: foco agora está nas pessoas, processos e IA
Kit de phishing mira clientes de bancos europeus. Por enquanto

A falha na configuração do sistema estaria permitindo que dados sensíveis de clientes do BPG fossem facilmente visualizados. A falha também indicava que o fornecedor do serviço não estaria em conformidade com normas como a ISO27001 e PCI-DSS, que são consideradas essenciais para este gênero de instituições. Como os dados estariam sendo atualizados em tempo real, isso poderia permitir que atacantes tivessem acesso a informações atualizadas sobre os clientes, e potencialmente usar essa informação para ataques direcionados.

Os pesquisadores entraram em contato com Nearsoft para reportar a falha, que foi a seguir resolvida. Apesar do risco, o banco não fez qualquer comentário público sobre o assunto. Embora a falha fosse de um fornecedor de serviços do Banco Português de Gestão, e embora o fornecedor disponibilize suas plataformas para outras organizações, apenas o BPG estaria afetado segundo o Cibernews.

Os dados expostos eram

  • Bank account numbers
  • IBAN numbers
  • Account balances
  • KYC documents
  • ID card numbers, including citizen ID numbers
  • Email addresses
  • Phone numbers
  • Taxpayer numbers
  • Names
  • Places of employment
  • Occupation
  • Marital status
  • Dates of birth
  • Home addresses
  • Answers to security questions
  • Authentication secrets
  • Internet banking session tokens

Compartilhar: