Yahoo Finanças Clientes do Banco Pan tiveram seus dados vazados em ataque hacker
Ataque pode ter vazado dados de 22 milhões de clientes do banco PAN;
Criminoso contou à imprensa como realizou o ataque;
Hacker também narrou à equipe de segurança digital do banco como invadiu os sistemas.
O banco PAN sofreu um vazamento de dados de seus clientes na madrugada desta sexta-feira, 15 de abril. Controlado pela BTG Pactual, a instituição financeira ainda estaria passando por uma tentativa de extorsão para que as informações roubadas não sejam divulgadas.
A informação foi primeiramente noticiada pelo portal especializado em tecnologia, Tecmundo, que recebeu ainda nesta madrugada uma planilha com uma amostra dos dados. Segundo a publicação, havia cerca de 64 mil clientes expostos no documento.
Os ladrões, no entanto, afirmam que há um total de 22 milhões de clientes no documento inteiro. O PAN, através de sua assessoria de imprensa, nega a dimensão desse número. Dentre as informações vazadas, presentes na amostra recebida pelo Tecmundo, estão o nome completo, o CPF, a data de nascimento, endereço residencial, saldo da conta, crédito aprovado, saldo devedor e valor da fatura. As informações parecem ter sido extraídas entre os dias 01 e 20 de março.
Em nota oficial, o banco afirmou que detectou uma vulnerabilidade na plataforma de um dos fornecedores de tecnologia, utilizada na Central de Atendimento a clientes no segmento dos cartões. "Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa", completou a instituição.
Hacker contou como realizou o ataque
O hacker, além de pedir por um resgate das informações, teria entrado também em contato com o setor técnico responsável pela segurança digital do PAN, informando todos os detalhes de como realizou o ataque.
À imprensa, ele narrou a invasão sem entrar em detalhes muitos específicos. “O banco utiliza credenciais impotentes e simples para controlar todas as contas de e-mail responsáveis por processar as informações dos clientes, como registrar novas contas, responder tickets etc”, disse.
“Com uma senha válida obtida, foi feita uma listagem de todos os emails públicos de funcionários, e com um ataque de password spray foi possível comprometer muitas contas que tinham acessos ascendidos a dados dos clientes”, afirmou o atacante.
A partir disso, ele teria utilizado um script para extrair as informações dos clientes de maneira automatizada, através de um sistema de API por onde os dados eram extraídos para o sistema de e-mail do banco. “O script era simples, apenas utilizava um cookie válido para enviar requests autenticadas para a API e salvava o resultado em um arquivo de texto. Ao total, foram extraídas informações de mais de 22M de clientes do banco Pan, que como citado acima, contém muitas informações que podem ser utilizadas por grupos criminosos”.
Com informações do TecMundo
