Pesquisadores do portal Cybernews revelaram ter descoberto uma falha num servidor do Banco Português de Gestão exposto na internet: com a falha de configuração, o servidor estaria permitindo que dados sensíveis de clientes da entidade bancária fossem vistos por terceiros. No dia 2 de maio, a equipe de pesquisa da Cybernews localizou uma configuração incorreta nos sistemas da Nearsoft, fornecedora de soluções bancárias digitais e de governo eletrônico para vários clientes.
O Português de Gestão é um banco pequeno, que opera apenas em Portugal, com ativos da ordem de 94 milhões de euros segundo seu último balanço.
Veja isso
PCI DSS 4.0: foco agora está nas pessoas, processos e IA
Kit de phishing mira clientes de bancos europeus. Por enquanto
A falha na configuração do sistema estaria permitindo que dados sensíveis de clientes do BPG fossem facilmente visualizados. A falha também indicava que o fornecedor do serviço não estaria em conformidade com normas como a ISO27001 e PCI-DSS, que são consideradas essenciais para este gênero de instituições. Como os dados estariam sendo atualizados em tempo real, isso poderia permitir que atacantes tivessem acesso a informações atualizadas sobre os clientes, e potencialmente usar essa informação para ataques direcionados.
Os pesquisadores entraram em contato com Nearsoft para reportar a falha, que foi a seguir resolvida. Apesar do risco, o banco não fez qualquer comentário público sobre o assunto. Embora a falha fosse de um fornecedor de serviços do Banco Português de Gestão, e embora o fornecedor disponibilize suas plataformas para outras organizações, apenas o BPG estaria afetado segundo o Cibernews.
Os dados expostos eram
- Bank account numbers
- IBAN numbers
- Account balances
- KYC documents
- ID card numbers, including citizen ID numbers
- Email addresses
- Phone numbers
- Taxpayer numbers
- Names
- Places of employment
- Occupation
- Marital status
- Dates of birth
- Home addresses
- Answers to security questions
- Authentication secrets
- Internet banking session tokens