Acesso podia ser feito pela página da BBturPrev, plano de previdência de ex-funcionários da extinta BBTur, subsidiária do Banco do Brasil
Um pesquisador não-identificado informou ao portal Olhar Digital, no final da tarde de quarta-feira, a exposição de aproximadamente 153 mil registros com informações de pessoas físicas, com acesso por meio de uma página da BB Previdência – subsidiária de previdência privada do Banco do Brasil. A página era identificada como sendo do BBTurPrev, fundo de pensão associado à empresa BB Turismo, subsidiária que o Banco fechou em Junho do ano passado.
Com o título de “Retirada de Patrocínio Plano BBTurPrev”, a página é um meio para que os cotistas possam informar como e para onde querem transferência dos seus fundos. Depois de informada pela publicação, a BB Previdência inibiu a página, possivelmente para manutenção. Por meio do formulário ao qual os clientes tinham acesso, era possível obter os dados de aproximadamente 153 mil pessoas. Como a BB Turismo não tinha essa quantidade de funcionários, os dados são possivelmente de outros fundos administrados pela empresa.
Veja isso
Grupo hacker aponta falha em servidor da Previdência
Eis o valor de dados comercializados na dark web
A fonte que informou o Olhar Digital disse que era possível não só fazer a leitura de dados como, também, editá-los. O CISO Advisor entrou em contato com o Banco do Brasil solicitando informações sobre o assunto e recebeu a seguinte nota:
“A BB Previdência informa que suspendeu ontem, 6/05, a opção “Retirada de Patrocínio” tão logo teve conhecimento de falha na funcionalidade e que irá adotar medidas tempestivas para corrigir os problemas identificados e garantir o perfeito sigilo dos dados de seus clientes.
A página foi criada no último dia 20/4 como parte do esforço para evitar que 220 ex-funcionários de uma empresa que teve suas atividades recentemente encerradas precisassem se deslocar pessoalmente a uma agência para definir pela melhor maneira de utilizar o saldo acumulado em seus planos de previdência e entregar os documentos requeridos.
Desde o lançamento, a transação exibiu dados de 106 clientes, incluídos nesse total os clientes que acessaram seus próprios dados, o que acreditamos ser a grande maioria.
A BB Previdência acrescenta que em nenhum momento foi possível realizar transferência de recursos para contas com CPF diferente do titular do plano de previdência”.