Segundo informações do site TecMundo, o Banco PAN sofreu um ataque direcionado a um método de autenticação fraco e teve API que revela dados dos clientes exposta. A publicação teve acesso a dados de 64 mil clientes, que estão em um arquivo de 1 GB do vazamento. No total seriam 25 GB vazados com cerca de 22 milhões de clientes. Se for verídica, é um dos maiores vazamentos de um banco privado no país.
Não há muitas informações a respeito, mas é sabido que o nome completo, CPF, data de nascimento, endereço residencial, cartões de crédito e número da conta mascaradas, saldo devedor e valor da fatura constam entre os dados. Procurado pelo site, o banco se manifestou:
” Detectamos recentemente uma fragilidade na plataforma de um fornecedor de tecnologia, utilizada na Central de Atendimento a clientes do segmento de cartões. Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa … de acordo com a apuração em curso, já foi possível constatar que não houve comprometimento de conta corrente, indisponibilidade de sistema, ou invasão à infraestrutura do Banco, tendo sido confirmado, no entanto, que a exploração da vulnerabilidade permitiu a cópia não autorizada de dados cadastrais, de limite disponível e saldo devedor, sem que tenham sido expostos dados completos de cartão, senhas ou qualquer dado que incorra em risco financeiro direto para o cliente e para o banco. Reforçamos que a segurança das informações é nossa prioridade e todas as autoridades competentes foram notificadas “
Citação parcial da resposta do Banco PAN à publicação
Nesta resposta fica evidente a confirmação de que uma vulnerabilidade de fato existia e que de fato dados foram expostos. Resta saber se o vazamento não tem relação com o vazamento de 250GB que ocorreu em 2019, detectado por pesquisadores de segurança do Data Group. Ainda segundo a publicação, o CSRIT (grupo de resposta a incidentes) da empresa foi avisado. Não há ainda informações se esta base de dados está disponível em algum fórum e não foi atribuída a nenhum grupo de crackers conhecido.
Com informações de: Tecmundo