Banco Pan confirma e detalha vazamento de dados pessoais de milhares de clientes

Um banco de dados de clientes que pertenceria ao Banco Pan vazou neste final de semana, expondo informações pessoais e alguns detalhes financeiros de alguns milhares de clientes. De acordo com as informações preliminares, estariam disponíveis dados cadastrais como nomes completos, endereços, CPFs e datas de nascimento, assim como informações sobre os limites disponíveis em cartões de crédito e saldos devedores de faturas.

• Brasil é o sexto maior país em total de vazamentos de dados
• Vazamento de dados corporativos aumentou 78% em 2021; saiba como se proteger

Segundo apuração do site Tecmundo, seriam pelo menos 64 mil clientes atingidos pelo vazamento — esse total corresponde a uma amostra enviada pelos criminosos ao veículo, como comprovação de posse dos dados. O veículo também fala em milhões de clientes, total que consta na denúncia anônima, mas o Banco Pan afirma que o número não procede.

De acordo com a instituição, em comunicado enviado ao Canaltech, o vazamento de dados ocorreu em um fornecedor de tecnologia, que oferece serviços de atendimento aos clientes do setor de cartões. Enquanto confirma um incidente cibernético, o Banco Pan afirma que não houve indisponibilidade de seus sistemas ou invasão à infraestrutura própria, com a vulnerabilidade que levou à obtenção dos dados publicados no final de semana já tendo sido corrigida.

Ainda de acordo com a assessoria de imprensa da instituição, não existe risco financeiro direto para os clientes atingidos pelo vazamento, já que dados financeiros sensíveis ou senhas não foram expostas como parte do comprometimento. Enquanto a empresa ainda não fala no número específico de atingidos, afirma que a apuração sobre o caso já está em andamento. Confira a nota na íntegra:

Detectamos recentemente uma fragilidade na plataforma de um fornecedor de tecnologia, utilizada na Central de Atendimento a clientes do segmento de cartões. Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa.

De acordo com a apuração em curso, já foi possível constatar que não houve comprometimento de conta corrente, indisponibilidade de sistema, ou invasão à infraestrutura do Banco, tendo sido confirmado, no entanto, que a exploração da vulnerabilidade permitiu a cópia não autorizada de dados cadastrais, de limite disponível de cartão saldo devedor de fatura, sem que tenham sido expostos números completos de cartão, senhas ou qualquer dado que incorra em risco financeiro direto para o cliente e para o Banco.

Reforçamos que a segurança das informações é nossa prioridade e que todas as autoridades competentes foram notificadas.

Como se proteger de golpes após o vazamento de dados?

A principal recomendação de segurança após um incidente desse tipo é quanto a tentativas de golpes envolvendo phishing e engenharia social. Os clientes devem ficar atentos a ligações, e-mails, mensagens e qualquer outra tentativa de contado envolvendo o nome da instituição atingida, evitando entregar novas informações, realizar pagamentos e, principalmente, passar senhas e credenciais.

Ignore contatos desse tipo, mesmo que eles acompanhem informações pessoais como suposta comprovação — lembre-se de que elas vazaram, e podem estar em outras mãos, que não as do banco. Caso acredite que o aviso recebido é real, busque o atendimento por meios oficiais, listados no site ou no aplicativo da instituição.

Além disso, vale a pena dar uma olhada no Registrato, um serviço do Banco Central que monitora informações financeiras a partir do CPF dos brasileiros. Por lá, é possível encontrar informações como contas, empréstimos, financiamentos, chaves PIX e demais registros feitos em seu nome, bem como identificar possíveis cadastros fraudulentos que tenham sido feitos a partir de dados vazados.

Uso de senhas inseguras teria levado a ataque

A apuração do Tecmundo também traz detalhes do que teria levado ao incidente cibernético contra o Banco Pan, fruto do uso de credenciais sem a devida proteção. Segundo a denúncia recebida, de posse de uma combinação validada de e-mail e senha, os criminosos teriam acessado a base completa de endereços dos funcionários da instituição e, com um golpe de força bruta, obtido acesso a contas que permitiam visualizar os dados dos clientes.

Por fim, um script foi usado para enviar requisições autenticadas, a partir das contas comprometidas, e salvar arquivos de texto com as informações dos usuários, levando ao total de contas citado pela reportagem. O banco também teria sido notificado, juntamente com a imprensa, sobre a intrusão e a vulnerabilidade usada para obtenção dos dados.

A reportagem do site fala, ainda, que o Banco Pan estaria sendo alvo de extorsão, com os criminosos pedindo valores não revelados para que o volume completo de informações dos clientes não seja publicado. A instituição não confirmou tal situação, enquanto detalhes sobre as supostas exigências também não foram revelados.

Fonte: Tecmundo