Banco português expõe dados de clientes, o que suscita receios de sequestro de contas

Banco português expõe dados de clientes, o que suscita receios de sequestro de contas

87 Visualizações
0

Um grupo de investigadores revelou ter descoberto uma falha que afetou o Banco Português de Gestão, e que estaria a permitir que dados sensíveis de clientes da entidade bancária fossem acedidos por terceiros.

A equipa de investigação da Cybernews, revelou que a 2 de maio, detetou uma má configuração nos sistemas da Nearsoft, um fornecedor de soluções bancárias digitais.

A má configuração permitiu a fuga de dados financeiros extremamente sensíveis de utilizadores pertencentes ao Banco Português de Gestão, um dos clientes da Nearsoft.

De forma alarmante, a fuga revelou também que o fornecedor de serviços do banco não cumpria as normas internacionais de segurança da informação, como a ISO27001 e a PCI-DSS, que são essenciais para as instituições financeiras. Quase nenhuma das informações sensíveis armazenadas estava encriptada ou com hash.

Os dados de utilizador divulgados incluíam:

  • Números de contas bancárias
  • Números IBAN
  • Saldos de contas
  • Documentos KYC (Conheça o Seu Cliente)
  • Números de cartões de identificação, incluindo números de identificação de cidadão
  • Endereços de email
  • Números de telefone
  • Números de contribuinte
  • Nomes
  • Locais de emprego
  • Profissão
  • Estado civil
  • Datas de nascimento
  • Endereços de residência
  • Respostas a perguntas de segurança
  • Segredos de autenticação
  • Tokens de sessão de banco online

A fuga de dados foi causada por uma falta de autenticação no painel de controlo Kibana da empresa – uma ferramenta online popular para pesquisar, visualizar e analisar dados armazenados.

De acordo com os investigadores, os dados dos clientes do banco  estavam acessíveis a qualquer pessoa na Internet, desde abril.

Um grande motivo de preocupação é o facto de os dados terem sido atualizados em tempo real, deixando os utilizadores do banco vulneráveis a uma vasta gama de ataques. Um conjunto importante de dados dos utilizadores poderia ter sido explorado por hackers para roubo de identidade, fraude bancária, doxxing, definição de perfis financeiros, spam e campanhas de phishing.

A Cybernews contactou a Nearsoft a expor a falha grave, que foi entretanto resolvida. No entanto, a entidade não terá feito qualquer comentário sobre a falha.

A falha de segurança encontrada pelos investigadores afetou apenas o Banco Português de Gestão. No entanto, a base de clientes da Nearsoft inclui numerosas instituições financeiras que podem potencialmente encontrar riscos de segurança semelhantes.

 

Sobre o autor

Fernando Costa

O Fernando é o diretor do InforGames. O seu primeiro computador foi o ZX Spectrum, e foi aqui que começou a interessar-se pelo mundo dos videojogos. Apesar de já ter jogado em várias plataformas, o PC continua a ser a sua plataforma de eleição. No que diz respeito a jogos, gosta de estratégia, corridas e luta.

O teu email não será publicado. Os campos de preenchimento obrigatório estão assinalados*

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.