Fernando Costa
O seu primeiro PC foi um ZX Spectrum, apesar de já ter jogado em várias plataformas, o PC continua a ser o Favorito. Criador do InforGames.pt e fã de jogos de Corrida, estratégia e luta.
Um grupo de investigadores revelou ter descoberto uma falha que afetou o Banco Português de Gestão, e que estaria a permitir que dados sensíveis de clientes da entidade bancária fossem acedidos por terceiros.
A equipa de investigação da Cybernews, revelou que a 2 de maio, detetou uma má configuração nos sistemas da Nearsoft, um fornecedor de soluções bancárias digitais.
A má configuração permitiu a fuga de dados financeiros extremamente sensíveis de utilizadores pertencentes ao Banco Português de Gestão, um dos clientes da Nearsoft.
De forma alarmante, a fuga revelou também que o fornecedor de serviços do banco não cumpria as normas internacionais de segurança da informação, como a ISO27001 e a PCI-DSS, que são essenciais para as instituições financeiras. Quase nenhuma das informações sensíveis armazenadas estava encriptada ou com hash.
Os dados de utilizador divulgados incluíam:
- Números de contas bancárias
- Números IBAN
- Saldos de contas
- Documentos KYC (Conheça o Seu Cliente)
- Números de cartões de identificação, incluindo números de identificação de cidadão
- Endereços de email
- Números de telefone
- Números de contribuinte
- Nomes
- Locais de emprego
- Profissão
- Estado civil
- Datas de nascimento
- Endereços de residência
- Respostas a perguntas de segurança
- Segredos de autenticação
- Tokens de sessão de banco online
A fuga de dados foi causada por uma falta de autenticação no painel de controlo Kibana da empresa – uma ferramenta online popular para pesquisar, visualizar e analisar dados armazenados.
De acordo com os investigadores, os dados dos clientes do banco estavam acessíveis a qualquer pessoa na Internet, desde abril.
Um grande motivo de preocupação é o facto de os dados terem sido atualizados em tempo real, deixando os utilizadores do banco vulneráveis a uma vasta gama de ataques. Um conjunto importante de dados dos utilizadores poderia ter sido explorado por hackers para roubo de identidade, fraude bancária, doxxing, definição de perfis financeiros, spam e campanhas de phishing.
A Cybernews contactou a Nearsoft a expor a falha grave, que foi entretanto resolvida. No entanto, a entidade não terá feito qualquer comentário sobre a falha.
A falha de segurança encontrada pelos investigadores afetou apenas o Banco Português de Gestão. No entanto, a base de clientes da Nearsoft inclui numerosas instituições financeiras que podem potencialmente encontrar riscos de segurança semelhantes.
Anterior
