Banco Inter alega sofrer extorsão de hacker com dados de 300 mil clientes

O Banco Inter recentemente passou por uma IPO (oferta pública inicial), que permitiu a captação de R$ 722 milhões, com ações variando entre R$ 18 e R$ 23. Tamanho crescimento parece ter atraído intenções criminosas por parte de um hacker autoidentificado como John, que, segundo informações publicadas pelo TecMundo, obteve dados de 300 mil clientes do Inter – e, agora, está aparentemente vazando essas informações por aí.

Em contato com a assessoria do Banco Inter, o Canaltech obteve a seguinte resposta: "O Banco Inter comunica que foi vítima de tentativa de extorsão e que imediatamente constatou que não houve comprometimento da segurança no ambiente externo e nem dano à sua estrutura tecnológica. A companhia esclarece, ainda, que comunicou o fato às autoridades competentes e a investigação corre em sigilo".

Voltando ao que o TecMundo apurou, um manifesto de 18 páginas do hacker foi recebido na semana passada (24) pela redação, detalhando pormenorizadamente as técnicas que ele havia empregado para conseguir acesso a dados pessoais de clientes do Banco Inter. Os supostos dados estão presentes no documento criptografado de 40 GB que o site afirma ter recebido juntamente com o manifesto, sendo compostos por imagens de cheques de clientes, informações pessoais que constam no cadastro dos clientes e até mesmo históricos de mudanças de senhas.

A equipe do site foi capaz de confirmar mais de 81 mil nomes no vazamento que, segundo o hacker, totalizam 300 mil clientes, o que corresponderia à totalidade de clientes do banco. O site acrescenta, ainda, que não foi possível confirmar os 300 mil nomes por haver criptografia nos arquivos supostamente enviados por John.

Ainda segundo o que o hacker haveria informado ao site, uma tentativa de extorsão foi feita junto ao Banco Inter, expondo o ocorrido e pedindo como resgate dos dados uma quantia não revelada, em troca da garantia que o vazamento não seria levado ao público. Na hipotética negativa do Banco Inter, John teria optado, então, por trazer o caso à imprensa.

O Manifesto do hacker John

De acordo com o que constaria no tal manifesto, John considera que o sistema bancário no Brasil ainda não se encontra pronto para operar através da nuvem. O ataque que ele hipoteticamente cometeu serviria como uma prova da brecha que John alega existir:

"Estamos quase às vésperas da decisão do grupo de trabalho que definirá as regras e sob quais condições e limites os bancos poderão adotar Cloud Computing em larga escala. Enquanto isso, as FINTECHs se antecipam e nadam de braçada nessa seara, sem esperar a decisão final, e de certa forma pressionando por uma decisão em favor da adoção ampla e pouco restrita da nuvem. Nesse estudo de caso, abordaremos o Banco Inter (antes Banco Intermedium) que por sua vez também está às vesperas de um lançamento de oferta pública inicial (IPO no inglês) na bolsa de valores. Buscando ser um unicórnio FINTECH de fato. Mas estamos prontos para esse salto?", dizia a introdução do Manifesto de John.

O manifesto continua: "Estamos diante de um dos maiores problemas de segurança que um banco pode sofrer, e um dos problemas de maior escala já vistos na história recente dos sistemas bancários brasileiros. Problema grande suficiente para comprometer não só o rating do banco Inter frente ao Banco Central, mas comprometer o rating de todos os bancos digitais, ou bancos clássicos que planejem adotar soluções de cloud computing em grande escala. E claro, potencialmente, afetar o resultado e as recomendações do Banco Central e do working group da Febraban para indicar até que ponto um banco ou uma fintech deve usar recursos de cloud".

Tentativa de extorsão e venda de dados

No suposto manifesto, John evidencia que entrou em contato com o Banco Inter na tentativa de tratar do assunto, pedindo um valor não conhecido como resgate das informações vazadas. Como não obteve resposta num período de 15 dias, explica o site, o hacker teria optado por expôr o ocorrido à imprensa.

Ainda segundo a apuração, na segunda-feira (30) teriam sido encontrados indícios que um grupo identificado como John Carter, que o site aposta ter ligação com o hacker John, pudesse estar vendendo os tais dados vazados dos clientes do Banco Inter pelo valor de 10 Bitcoins, o que equivaleria, em conversão direta, a cerca de R$ 330 mil.

Para piorar, é possível que as informações já tenham sido vendidas. O site alega que denúncias foram recebidas, informando que o site Dream Market, localizado na Deep Web, teria sido o local da negociação, mas admite a possibilidade de essa ser uma informação ainda carente de confirmações. Em contato com John, o hacker teoricamente afirmou que as vendas foram de fato efetuadas, mas não por intermédio do Dream Market.

Dados vazados

Mas, afinal, quais são os dados que estão sendo apontados como vazados? Segundo o site, os dados que estão sob a hipótese de terem vazado são:

• Dados cadastrais de quase todos os clientes do Banco Inter, incluindo seus códigos de segurança e senha dos cartões e contas; base de cadastro junto à Mastercard com e-mails, telefones, endereços, filiaçào, documentos e telefones de contato;
• Senha dos cartões Mastercard, tanto de débito quanto de crédito, para segundo fator de autenticação de transações online, inclusive pagamentos e transferências;
• Informações sobre trocas de senhas que por ventura tenham sido feitas ou mesmo que venham a ser feitas, segundo o hacker;
• Informações sobre todas as operações e transações bancárias feitas após fevereiro, incluindo origem e destino, além dos valores;
• Todas as transações já realizadas pelo CD Pro, um tipo de conta voltada para pessoas jurídicas;
• Documentos em .pdf e de imagem .tiff das bases cadastrais dos clientes, incluindo CPF, RG, Carteiras de Motoristas, comprovantes de renda e endereço além de algumas declarações de imposto de renda;
• Centenas de fotografias de cheques emitidos pelos clientes;
• Padrões de url de sistemas usados na nuvem;
• Dados de login, com usuário e senhas de FTP do Banco Inter;
• Dump de todos os arquivos e dados do FTP da Conductor, processadora de cartões parceira;
• Chaves de API e URLs usadas para validar a senha master na processadora de cartões Fast Solutions;
• Chaves privadas ec2 usadas na AWS, chaves SSH, chaves de API de serviços e até chave privada do certificado SSL Wildcard;
• Senhas de diversos funcionários da Virtual Sistemas e grupo Magnus, empresas terceirizadas parceiras do Banco Inter; e
• Código-fonte do novo core banking.

Fonte: TecMundo