O Bank of America (BofA) comunicou à Procuradoria Geral da Califórnia que expôs “brevemente aplicativos de Programa de proteção de pagamento (PPP) de certos clientes comerciais a terceiros após o upload dos documentos em uma plataforma de teste”.
Os dados expostos incluíam informações relacionadas às empresas dos candidatos – incluindo endereços, números de telefone e números de identificação fiscal -, além de detalhes pessoais como nomes, endereços residenciais, números de Seguro Social, números de telefone, endereços de e-mail e status de cidadania.
O PPP é um dos programas estabelecidos pela Lei CARES de 2020 (Auxílio a Coronavírus, Ajuda e Segurança Econômica) para ajudar a fornecer segurança financeira a certas empresas ou trabalhadores durante a pandemia de Covid-19. Especialistas disseram que as violações do PUA, outro programa estabelecido pela lei, foram em grande parte o resultado de governos rapidamente oferecerem serviços da Web para processar um grande fluxo de aplicativos.
De acordo com o BofA, ele vem colaborando nas últimas semanas com a Administração de Tesouraria e Pequenas Empresas dos EUA para processar mais de 305.000 solicitações de empréstimos para pessoas jurídicas. O banco não declarou quantas dessas solicitações foram afetadas.
Veja isso
Dados bancários de 534 mil brasileiros estão à venda
Vazamento contém 40M operações de crédito, 11M de pessoas
Dmitriy Ayrapetov, vice-presidente de arquitetura de plataformas da SonicWall, disse não considerar que isso seja “uma violação de segurança ou integridade do próprio site, pois nada foi invadido. Na verdade, este é um exemplo de processos de negócios frouxos ou incompletos, que acabaram revelando mais informações do que o necessário para quem não deveria ter acesso a essas informações. Isso é lamentável, mas esperado, à medida que empresas e bancos correm para atender esses programas.”
No aviso oficial de violação de dados enviado aos clientes afetados e ao Gabinete do Procurador Geral da Califórnia, a instituição financeira disse que a plataforma foi projetada para testar os envios de aplicativos para a Small Business Administration, antes de enviá-los oficialmente para o governo.
Porém, ao realizar esses testes em 22 de abril, o Bank of America percebeu que os documentos de seus clientes também podiam ser visualizados por outros credores e fornecedores também autorizados a usar a plataforma. O banco garantiu aos clientes que as informações foram rapidamente removidas de lá e que não há motivos para acreditar que outros credores e fornecedores usaram mal a documentação vazada.
Em resposta ao incidente, o BofA disse que os clientes afetados são elegíveis para dois anos gratuitos de proteção contra roubo de identidade e monitoramento de seus relatórios de crédito.
Com agências internacionais