25/05/2015 08h45 - Atualizado em 25/05/2015 08h45

Brecha de site expõe 360 mil boletos do Itaú e mais 4 bancos

Analista de sistema descobriu falha após receber cobrança de dívida.
Falha revela cobranças do HSBC, Cred-System, Banco Pan e Luizacred.

Helton Simões GomesDo G1, em São Paulo

Uma brecha de segurança em um site brasileiro de envio de cobranças de débitos em aberto expôs mais de 360 mil avisos a clientes de Itaú, HSBC, Cred-System, Banco Pan e LuizaCred. Após receber um desses boletos distribuídos pelo sistema, um desses devedores descobriu a vulnerabilidade e comunicou ao G1.

Esses documentos mostravam o nome e CPF do cliente, CNPJ (no caso de empresas) e os endereços de alguns. Eram acompanhados de débitos com valores a serem pagos.

Por possuir dívida com o Itaú, o analista de sistemas Hélio Pimentel recebeu um e-mail da LocalCred, empresa terceirizada pelo banco para executar cobranças. A mensagem continha um link com o boleto para quitar o débito.

Como a identificação da cobrança de Pimentel estava na URL, bastou mudar a combinação final da sequência para descobrir avisos de outras pessoas.

Para agilizar o processo, o analista criou um programa que extraiu todos os boletos. Foram 361.479: 231.648 de clientes do Itaú, 77.029 dos da Cred-System, 42.648 dos do Banco Pan, 6.545 dos do HSBC e 3.609 dos da LuizaCred. A extração ocorreu em maio.

Terceirização
“Alguém mal intencionado poderia inventar um golpe entrando em contato com estes clientes e simulando acordos”, comentou Pimentel. Depois de identificar a falha, ele comunicou a vulnerabilidade à LocalCred.

A empresa presta serviços para o Itaú e os sistemas de envio são fornecidos a ela por outra companhia, a MCM Solutions. Pimentel localizou boletos de Cred-System, Banco Pan, HSBC e LuizaCred. Essas empresas não são clientes da LocalCred, mas de sua fornecedora.

Outro lado
A MCM diz ser responsável apenas pelo processamento e envio de material, de acordo com a demanda do solicitante. Quem determina os níveis de segurança, o que vai ser visto e como será visto, informa, é a empresa contratante.

Contatados pelo G1, Itaú e Luizacred informaram que o envio dos boletos por esse sistema era “um teste de funcionalidade em que não havia a exposição de dados sigilosos dos clientes”. “As transações realizadas pelos clientes nos diversos canais são monitoradas por equipes internas, com o objetivo de prevenir e identificar qualquer situação de possível fraude”, afirmou o Itaú. Segundo a LocalCred, esse canal de envio foi encerrado.

Já a Cred-System informou que “não autoriza a divulgação dos dados de seus clientes, sem a permissão destes”. Comunicou ainda que pode ainda adotar medidas legais, caso entenda que sejam pertinentes. O Banco Pan se limitou a informar que já não é cliente da LocalCred desde julho de 2014, e o HSBC não respondeu até a publicação deste texto.

Vulnerabilidade corriqueira
Segundo o colunista de segurança digital do G1, Altieres Rohr, a vulnerabilidade é corriqueira, mas não deixa de ser um problema.

Para elevar o nível de segurança, a empresa, diz Rohr, deveria fornecer, além do link da página, um código único para cada um dos clientes acessarem apenas o seu boleto.

Já Pimentel, o pivô da história, diz que chegou a desconfiar de que a LocalCred se tratava de um canal oficial do Itaú. “Cheguei a ficar em dúvida porque a mensagem é agressiva”, disse. Contribuiu para isso ter sido a primeira vez que a empresa entrava em contato. Em outras três vezes, Pimentel negociou com o banco uma fatura de cartão de crédito não paga. Depois do imbróglio, promete: “Pretendo pagar assim que for possível”.

tópicos:
veja também
Shopping
    busca de produtoscompare preços de