Banco Inter é extorquido e dados de clientes são expostos; invasão é negada
O Banco Inter sofreu uma tentativa de extorsão durante as últimas semanas. Caso o banco não pagasse, dados pessoais de clientes seriam enviados para a imprensa e vendidos na internet. Foi o que aconteceu: dados pessoais de milhares de clientes, funcionários e executivos do Banco Inter, um dos maiores bancos totalmente digitais do Brasil, foram colocados em um arquivo criptografado de 40 GB. Por lá, são encontradas fotos de cheques, documentos, transações, emails, informações pessoais, chaves de segurança e senhas de cerca de 100 mil pessoas.
O hacker exigiu uma quantia não revelada para pagamento e alertou que, se em 15 dias não obtivesse uma resposta, revelaria o caso para o público
Na terça-feira passada (24), o TecMundo recebeu um manifesto de 18 páginas assinado pelo hacker “John” que detalha de maneira técnica como teve acesso aos dados e quais foram as suas motivações. Além disso, ele também detalha como funcionou uma extorsão ao Banco Inter, com prazos e dinheiro envolvido para o caso ser “deixado de lado” e resolvido internamente. De acordo com John, o pagamento não foi realizado.
Atualização às 16h00: o TecMundo afirma que realizou ligações para os números encontrados nos arquivos de clientes do banco para confirmação da veracidade das contas. Todas as ligações realizadas foram gravadas e os clientes confirmaram os dados vazados:
Usuária do Twitter cobrando o banco
O TecMundo encontrou 81,609 mil nomes vazados, enquanto o hacker afirma serem mais de 300 mil nomes envolvidos, o que incluiria todos os clientes do banco — muitos documentos dentro do arquivo de 40 GB estavam protegidos por senhas, não sendo possível a confirmação das outras milhares de contas alegadas.
O Banco Inter, que também recebeu o arquivo de 40 GB, negou uma invasão e comentou: “O Banco Inter segue as regulamentações de segurança aplicáveis à natureza do serviço prestado, estando em conformidade com as boas práticas no que se refere à proteção dos dados pessoais de seus clientes. Nesse sentido, busca constantemente o aperfeiçoamento de sua segurança digital. Inclusive, é pioneiro na migração de dados para computação em nuvem junto ao seu parceiro Amazon Web Services”
“Estamos quase às vésperas da decisão do grupo de trabalho que definirá as regras e sob quais condições e limites os bancos poderão adotar Cloud Computing em larga escala. Enquanto isso, as FINTECHs se antecipam e nadam de braçada nessa seara, sem esperar a decisão final, e de certa forma pressionando por uma decisão em favor da adoção ampla e pouco restrita da nuvem. Nesse estudo de caso, abordaremos o Banco Inter (antes Banco Intermedium) que por sua vez também está às vesperas de um lançamento de oferta pública inicial (IPO no inglês) na bolsa de valores. Buscando ser um unicórnio FINTECH de fato. Mas estamos prontos para esse salto?”, pergunta o hacker antes de detalhar a invasão.
Nome, nome da mãe, número do documento, renda mensal e resposta de segurança de uma das contas vazadas ao TecMundo
Como enviar uma denúncia ao TecMundo: [email protected] ou [email protected]
No manifesto, John deixa claro que fez contato com o Banco Inter para a correção do problema. Contudo, exigiu uma quantia não revelada para pagamento e alertou que, se em 15 dias não obtivesse uma resposta, revelaria o caso para o público. Neste momento, o banco agiu de maneira correta: como acontece com os ransomwares, a indicação é que PCs sequestrados e extorsões não sejam pagas por pessoas físicas e empresas.
Dos 40 GB enviados ao TecMundo, cerca de 30 GB são dados pessoais dos correntistas do banco Inter
Na segunda-feira passada (30), já foram encontradas supostas indicações da venda dos dados vazados em sites específicos. Um grupo identificado como ‘John Carter’, de provável ligação com o hacker que enviou os dados ao TecMundo, está vendendo as informações completas e de maneira exclusiva por 10 bitcoins (BTC 10). Neste momento, a unidade do Bitcoin está custando R$ 33 mil: então, os 40 GB podem ser adquiridos por cerca de R$ 330 mil. As informações podem ser encontradas em chans da rede Onion.
Primeiro contato do hacker enviando os 40 GB de dados
Antes de detalhar o que pode ser encontrado no arquivo de 40 GB, o hacker deixa a seguinte mensagem: “Estamos diante de um dos maiores problemas de segurança que um banco pode sofrer, e um dos problemas de maior escala já vistos na história recente dos sistemas bancários brasileiros. Problema grande suficiente para comprometer não só o rating do banco Inter frente ao Banco Central, mas comprometer o rating de todos os bancos digitais, ou bancos clássicos que planejem adotar soluções de cloud computing em grande escala. E claro, potencialmente, afetar o resultado e as recomendações do Banco Central e do working group da Febraban para indicar até que ponto um banco ou uma fintech deve usar recursos de cloud”.
Parte do vazamento
Dos 40 GB enviados ao TecMundo, cerca de 30 GB supostamente são dados pessoais dos correntistas do Banco Inter. Por dados pessoais, neste caso, estamos falando de informações pessoais completas, com ficha cadastral, comprovantes, senhas de cartão descriptografadas (antigas e novas, registro de troca de senha), número de cartão e até mesmo CVV e data de expiração/validade dos cartões — com as informações bancárias, em específico, presentes em uma segunda lista, como você vê nas imagens.
Parte do vazamento
Informações dos cartões de clientes e funcionários
Ao longo das 18 páginas de seu manifesto, o hacker John explica detalhadamente como fez para obter os dados. Não foi fácil: fica claro que aconteceu um jogo de paciência, e foram semanas minerando os dados por meio de vários tipos de ataques diferentes aos servidores e base de dados.
“O mapa do tesouro estava claro: precisava transpor o Inapsula, que ia chegar no cloud front, do CF eu chegaria aos servidores de aplicação, talvez vários, balanceados, rodando apachecoyote, tomcat e numa aplicação em jsf/2.0, feita em java faces. Mais json e menos xml/soap, estava legal, mas eu tinha o mapa, tinha versões e tinha um plano”, diz.
Sabe aquele lema da internet, quando o serviço é gratuito, o produto é você?
“Uma vez que eu já tinha como copiar todo payload chegando e saindo da aplicação, como acessar por túnel SSH reverso sem precisar de novo transpor o Incapsula, e agora com chaves da Amazon para até escolher onde salvar meus dados já que as instâncias eram descartáveis e voláteis, eu só precisava repetir as rotinas em instâncias novas que subissem, copiar os dados pra depois processar e separar lixo do que era útil. O resultado foi esse: 40gb de dados úteis, nada de lixo, exfiltrados sem ninguém perceber”, diz ao final da explicação.
Em conversa com o TecMundo, John comentou que o trabalho realizado para obter os dados do Banco Inter levou cerca de sete meses. “Um funcionário do banco foi inconsequente durante seu trabalho e, através deste erro, conseguimos entrar dentro de sistemas do banco e copiar os dados”, explicou de maneira simples a invasão.
“Um incidente sem precedentes, com números de cartão de crédito, cvv, senha de cartão, conta corrente, senhas de conta corrente, fotos de documentos, bases cadastrais inteiras. Sigilo bancário, saldo, transações, dados pessoais. Sabe aquele lema da internet, quando o serviço é gratuito, o produto é você? Pois bem, no caso da conta gratuita do Inter, o produto ‘você’ agora potencialmente pertence a todos que tiveram acesso a esses dados, ou, com base nesse artigo, conseguirem explorar e potencialmente aumentar a taxa de exfiltração”.
Manifesto enviado ao TecMundo
O Banco Inter, antigo Intermedium, foi fundado em 1994 pela família Menin, dona da construtora MRV. Segundo dados de 2011, coletados pela Economática, a MRV Engenharia é a empresa do setor de construção de edifícios residenciais com o maior lucro na América Latina e nos Estados Unidos.
A principal bandeira do Inter é ser o primeiro banco 100% digital e a gratuidade na abertura de contas, pedido de cartão e transferência. Segundo a empresa, a média diária de abertura chegou aos 2 mil em dezembro de 2017. O Inter espera fechar 2018 com 1 milhão de correntistas — atualmente, na casa dos 400 mil.
O Inter abriu seu IPO (Oferta Pública Inicial) recentemente e vendeu suas ações por R$ 18,50, captando R$ 722 milhões. A faixa de preço das ações variava entre R$ 18 e R$ 23; a oferta primária ficou em R$ 541 milhões e vai para empresa, enquanto isso, a secundária captou R$ 180 milhões (voltada para acionistas vendedores) .
Cheque de um suposto cliente do Banco Inter
O TecMundo consultou Emilio Simoni, diretor do dfndr lab, laboratório da PSafe especializado em cibersegurança, sobre dicas de melhores práticas após um vazamento de dados. De acordo com Simoni, caso os dados vazados sejam informações pessoais (RG, CPF, endereço, telefone etc), “uma das primeiras medidas é trocar todas as senhas utilizadas e usar combinações que não sejam de fácil descoberta (como data de aniversário, por exemplo), além de ter senhas únicas para cada serviço. Caso o vazamento de dados pessoais se confirme, é muito importante que as pessoas redobrem a atenção em relação a quaisquer comunicações que chegarem por correios ou e-mail, para se certificarem de que não são comunicações falsas, como boletos, por exemplo. Em relação ao CPF, é possível buscar serviços de monitoramento de utilização do documento”.
Os aplicativos bancários devem sempre se comunicar de forma segura com o servidor do banco, verificando a autenticidade do certificado digital
Por outro lado, o vazamento bancário é um pouco mais trabalhoso: “A pessoa que desconfiar que teve seus dados vazados deve entrar em contato com sua agência bancária imediatamente e solicitar o bloqueio de suas contas e/ou cartões, para evitar que haja qualquer movimentação fraudulenta. Após isso, é preciso alterar as credenciais de acesso (senhas, número do cartão, etc)”.
“Os aplicativos bancários devem sempre se comunicar de forma segura com o servidor do banco, verificando a autenticidade do certificado digital”, disse Emilio Simoni. “Ainda assim, é importante que usuários de aplicativos bancários tomem algumas medidas de proteção, como não acessar o app em redes públicas de wi-fi (tais como cafeterias, hotéis, eventos etc) e possuir um aplicativo de segurança (antivírus) certificado, evitando assim que malwares se sobreponham aos aplicativos de bancos e, com isso, consigam acessar os dados dos usuários”.
Registro de transações (censurado)