CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

Bank of America comunica vazamento de dados de PJs

Da Redação
02/06/2020

O Bank of America (BofA) comunicou à Procuradoria Geral da Califórnia que expôs “brevemente aplicativos de Programa de proteção de pagamento (PPP) de certos clientes comerciais a terceiros após o upload dos documentos em uma plataforma de teste”.

Os dados expostos incluíam informações relacionadas às empresas dos candidatos – incluindo endereços, números de telefone e números de identificação fiscal -, além de detalhes pessoais como nomes, endereços residenciais, números de Seguro Social, números de telefone, endereços de e-mail e status de cidadania.

O PPP é um dos programas estabelecidos pela Lei CARES de 2020 (Auxílio a Coronavírus, Ajuda e Segurança Econômica) para ajudar a fornecer segurança financeira a certas empresas ou trabalhadores durante a pandemia de Covid-19. Especialistas disseram que as violações do PUA, outro programa estabelecido pela lei, foram em grande parte o resultado de governos rapidamente oferecerem serviços da Web para processar um grande fluxo de aplicativos.

De acordo com o BofA, ele vem colaborando nas últimas semanas com a Administração de Tesouraria e Pequenas Empresas dos EUA para processar mais de 305.000 solicitações de empréstimos para pessoas jurídicas. O banco não declarou quantas dessas solicitações foram afetadas.

Veja isso
Dados bancários de 534 mil brasileiros estão à venda
Vazamento contém 40M operações de crédito, 11M de pessoas

Dmitriy Ayrapetov, vice-presidente de arquitetura de plataformas da SonicWall, disse não considerar que isso seja “uma violação de segurança ou integridade do próprio site, pois nada foi invadido. Na verdade, este é um exemplo de processos de negócios frouxos ou incompletos, que acabaram revelando mais informações do que o necessário para quem não deveria ter acesso a essas informações. Isso é lamentável, mas esperado, à medida que empresas e bancos correm para atender esses programas.”

No aviso oficial de violação de dados enviado aos clientes afetados e ao Gabinete do Procurador Geral da Califórnia, a instituição financeira disse que a plataforma foi projetada para testar os envios de aplicativos para a Small Business Administration, antes de enviá-los oficialmente para o governo.

Porém, ao realizar esses testes em 22 de abril, o Bank of America percebeu que os documentos de seus clientes também podiam ser visualizados por outros credores e fornecedores também autorizados a usar a plataforma. O banco garantiu aos clientes que as informações foram rapidamente removidas de lá e que não há motivos para acreditar que outros credores e fornecedores usaram mal a documentação vazada.

Em resposta ao incidente, o BofA disse que os clientes afetados são elegíveis para dois anos gratuitos de proteção contra roubo de identidade e monitoramento de seus relatórios de crédito.

Com agências internacionais

Compartilhar: