Uma brecha de segurança em um site brasileiro de envio de cobranças de débitos em aberto expôs mais de 360 mil avisos a clientes de Itaú, HSBC, Cred-System, Banco Pan e LuizaCred. Após receber um desses boletos distribuídos pelo sistema, um desses devedores descobriu a vulnerabilidade e comunicou ao G1.
Esses documentos mostravam o nome e CPF do cliente, CNPJ (no caso de empresas) e os endereços de alguns. Eram acompanhados de débitos com valores a serem pagos.
Por possuir dívida com o Itaú, o analista de sistemas Hélio Pimentel recebeu um e-mail da LocalCred, empresa terceirizada pelo banco para executar cobranças. A mensagem continha um link com o boleto para quitar o débito.
Como a identificação da cobrança de Pimentel estava na URL, bastou mudar a combinação final da sequência para descobrir avisos de outras pessoas.
Para agilizar o processo, o analista criou um programa que extraiu todos os boletos. Foram 361.479: 231.648 de clientes do Itaú, 77.029 dos da Cred-System, 42.648 dos do Banco Pan, 6.545 dos do HSBC e 3.609 dos da LuizaCred. A extração ocorreu em maio.
Terceirização
“Alguém mal intencionado poderia inventar um golpe entrando em contato com estes clientes e simulando acordos”, comentou Pimentel. Depois de identificar a falha, ele comunicou a vulnerabilidade à LocalCred.
A empresa presta serviços para o Itaú e os sistemas de envio são fornecidos a ela por outra companhia, a MCM Solutions. Pimentel localizou boletos de Cred-System, Banco Pan, HSBC e LuizaCred. Essas empresas não são clientes da LocalCred, mas de sua fornecedora.
Outro lado
A MCM diz ser responsável apenas pelo processamento e envio de material, de acordo com a demanda do solicitante. Quem determina os níveis de segurança, o que vai ser visto e como será visto, informa, é a empresa contratante.
Contatados pelo G1, Itaú e Luizacred informaram que o envio dos boletos por esse sistema era “um teste de funcionalidade em que não havia a exposição de dados sigilosos dos clientes”. “As transações realizadas pelos clientes nos diversos canais são monitoradas por equipes internas, com o objetivo de prevenir e identificar qualquer situação de possível fraude”, afirmou o Itaú. Segundo a LocalCred, esse canal de envio foi encerrado.
Já a Cred-System informou que “não autoriza a divulgação dos dados de seus clientes, sem a permissão destes”. Comunicou ainda que pode ainda adotar medidas legais, caso entenda que sejam pertinentes. O Banco Pan se limitou a informar que já não é cliente da LocalCred desde julho de 2014, e o HSBC não respondeu até a publicação deste texto.
Vulnerabilidade corriqueira
Segundo o colunista de segurança digital do G1, Altieres Rohr, a vulnerabilidade é corriqueira, mas não deixa de ser um problema.
Para elevar o nível de segurança, a empresa, diz Rohr, deveria fornecer, além do link da página, um código único para cada um dos clientes acessarem apenas o seu boleto.
Já Pimentel, o pivô da história, diz que chegou a desconfiar de que a LocalCred se tratava de um canal oficial do Itaú. “Cheguei a ficar em dúvida porque a mensagem é agressiva”, disse. Contribuiu para isso ter sido a primeira vez que a empresa entrava em contato. Em outras três vezes, Pimentel negociou com o banco uma fatura de cartão de crédito não paga. Depois do imbróglio, promete: “Pretendo pagar assim que for possível”.