CIÊNCIA & TECNOLOGIA
Dados de 10 mil clientes brasileiros de financeira são expostos na internet
Uma grave exposição comprometeu dados pessoais e financeiros de mais de 10 mil brasileiros, clientes de serviços financeiros da Prisma Promotora e parceiros. Os registros estavam presentes em um servidor na nuvem da Amazon, de forma desprotegida e plenamente acessível por terceiros — no total, eram cerca de 717 mil arquivos e aproximadamente 574 GB de dados.
De acordo com os especialistas da vpnMentor, empresa especializada em segurança digital responsável por alertar o Canaltech sobre a brecha, os dados expostos aparecem, em sua maioria, em planilhas de Excel usadas para cadastros dos clientes da Prisma Promotora. Além de nomes completos, e-mails, CNPJs, datas de nascimento e endereços pessoais ou de trabalho, também estavam disponíveis cópias de documentos (com fotos pessoais) e cartões de crédito, débito ou poupança.
Para piorar um pouco mais as coisas, o banco de dados ainda trazia informações sensíveis como registros de veículos ou outros bens dos clientes, certidões de antecedentes criminais e até mesmo gravações com o registro de negociações, solicitações de documentação e informes feitos pela financeira. Ainda, dados dos próprios funcionários da companhia também puderam ser encontrados em meio ao volume.
De acordo com os especialistas responsáveis pela denúncia, liderados pelo pesquisador Noam Rotem, as informações presentes em um servidor desprotegido no Amazon Web Services pertencem a uma empresa de software de gestão empresarial cuja identidade não foi divulgada. A Prisma Promotora seria cliente dessa companhia, com os dados de seus próprios usuários sendo enviados à infraestrutura vulnerável pelas aplicações utilizadas por ela, sem que a própria financeira tivesse controle sobre o tratamento e eventual exposição das informações.
Como forma de evitar ainda mais exposição dos dados disponíveis nos servidores, os especialistas decidiram não processar as informações disponíveis nas planilhas, o que impede verificar exatamente quantos brasileiros foram comprometidos pela vulnerabilidade. Segundo as informações de seu site oficial, a Prisma Promotora tem atuação em 19 estados brasileiros e conta com empresas como Renault, BV Financeira, a adquirente Rede e o banco Safra entre seus principais clientes.
Alto risco de fraude
A exposição, que atinge mais de 10 mil brasileiros, tem alto potencial para ser utilizada como meio de fraude, caso tenha sido identificada também por indivíduos maliciosos durante o período em que esteve disponível. Como dito, além de dados que identificam os clientes pessoalmente e de forma direta, também estão presentes informações sensíveis e que podem ser utilizadas em extorsões ou crimes reais, além de roubo de identidade.
Entre os casos mais graves, foi possível encontrar mais de 1,7 mil cópias de documentos, entre cédulas de identidade, carteiras de habilitação ou cartões de crédito pessoais, que provavelmente eram submetidos à Prisma Promotora para fins de verificação. Enquanto a maioria dos dados plenamente acessíveis está em cerca de duas mil planilhas de Excel, outras informações podem estar disponíveis nos mais de 105 mil arquivos de áudio que estavam disponíveis no servidor.
Aqui, estão registradas ligações que envolvem o pedido de empréstimos ou financiamento de dívidas, com atendentes e clientes discutindo detalhes que envolvem valores, parcelas e outras informações sensíveis, com direito a números de contas em banco, códigos de cobrança e mais dados financeiros sendo repassados entre as partes.
Além disso, os especialistas chamam a atenção para a possibilidade de ataques contra a própria empresa. já que, como dito, algumas planilhas também continham informações dos funcionários da Prisma Promotora. Nos documentos aparecem dados como nomes completos, endereços, datas de admissão, função e postos de trabalho onde os colaboradores estão exercendo suas funções.
O servidor continha, ainda, o backup das mesmas informações disponíveis publicamente, em um método pouco seguro de realizar a cópia dos dados, além de arquivos relacionados às aplicações web e mobile usadas pela financeira, que permitiram acesso a páginas de login da companhia. Por lá, os especialistas obtiveram acesso a detalhes de outros servidores, que também são colocados em risco caso não tenham as devidas proteções contra ataques de força bruta, SQL Injection e outras tentativas de exploração.
Não se sabe por quanto tempo as informações estiveram disponíveis livremente, com a descoberta do servidor desprotegido sendo registrada no dia 29 de dezembro de 2020. A partir daí, o volume permaneceu aberto e acessível por pouco menos de dois meses, sendo fechado em 14 de fevereiro sem que os representantes da vpnMentor recebessem uma resposta.
Da mesma forma, o Canaltech não foi capaz de falar com representantes da Prisma Promotora. Enquanto os telefones listados no site da empresa estavam inacessíveis, a reportagem não recebeu resposta do único e-mail de atendimento disponível e segue aguardando um posicionamento.
Cuidado triplicado
O principal risco corrido pelos clientes da financeira, caso os dados vulneráveis tenham caído em mãos maliciosas, está relacionado às fraudes bancárias ou ataques de engenharia social. Com a posse de tal volume de informações, os bandidos podem realizar diversos crimes que vão desde a abertura de contas bancárias ou a solicitação de empréstimos em nomes das vítimas, até contatos diretos que podem levar desde a clonagem do WhatsApp até extorsão pelas informações sensíveis disponíveis, além de solicitações envolvendo pagamentos ou depósitos.
Por isso, aos clientes da Prisma Promotora, o ideal é manter atenção redobrada com mensagens recebidas por SMS ou aplicativos como o WhatsApp, além de contatos telefônicos, principalmente se eles solicitarem códigos de ativação, pagamentos ou mais informações. Na dúvida sobre a veracidade da comunicação, desligue e retorne a ligação de outro telefone, ou aguarde alguns minutos antes de realizar a chamada a partir de uma mesma linha.
Além disso, à empresa responsável pela guarda dos dados, bem como eventuais clientes e parceiros, o ideal é notificar os usuários atingidos sobre a exposição de dados, para que eles possam tomar medidas de proteção. Além disso, as companhias também podem estar sujeitas a extorsão por criminosos que, de posse dos dados, podem exigir um “resgate” para que as informações não sejam utilizadas em crimes ou divulgadas publicamente.
Fonte: vpnMentor