O vazamento foi indicado pelo grupo de pesquisa Data Group; até o momento, o grupo revelou que clientes do Banco Pan tiveram seus documentos digitalizados, como CPF, CNH e RG, expostos em um servidor.
De acordo com o veículo, foi possível acessar também comprovantes de endereço, contratos, ordens de pagamento, demonstrativos, holerites, contracheques e cartões de crédito.
CPF, RG, CNH, comprovantes de endereço, contratos, ordens de pagamento, demonstrativos, holerites, contracheques e cartões de crédito
Não há um número certo sobre quantos clientes foram expostos. “É difícil estimar um número específico de clientes afetados, visto que, pela magnitude do vazamento (e desorganização dos arquivos), não foi possível contabilizar a quantidade de consumidores incluídos no incidente”, diz o The Hack.
O vazamento, ao expor os dados, revela todas as características financeiras da vida de cada cliente. É possível acompanhar a renda mensal e as movimentações bancárias, além de checar extratos gerados via internet banking.
Segundo o veículo, foram identificadas quatro empresas no vazamento, “diferentes do ramo financeiro, sendo todas especializadas no público aposentado, pensionista, militar e servidor público”.
- O Banco Pan teria sido o mais afetado. Segundo a assessoria do banco, o servidor em questão pertence a um parceiro comercial, mas não foi capaz de apontar o seu nome.
O Banco informa que o ambiente questionado não é de sua propriedade e que, após análise criteriosa em seus sistemas de segurança, não foi constatada qualquer invasão. Na atuação com parceiros comerciais são capturados dados cadastrais de potenciais clientes por tais parceiros, antes da efetiva formalização de uma operação com o Banco, que adota as medidas cabíveis caso identificado qualquer tipo de uso indevido dessas informações. Ratifica que a segurança da informação é uma de suas prioridades, alinhada com as melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores. Em compromisso com a sociedade, segue à disposição para colaborar com a apuração dos fatos.
Todos os documentos estavam em um bucket do Amazon S3 (Simple Storage Service), serviço de armazenamento em nuvem. Como nota o veículo, o problema não foi uma vulnerabilidade no bucket: ele estava público, aberto para qualquer um acessar.
Fonte: The Hack
