Segundo o site Restore Privacy, dados de 700 milhões de usuários do LinkedIn foram colocados à venda em um forum, tornando este o maior vazamento que se tem conhecimento sobre a rede social até hoje. O LINKEDIN E A PRIVACIDADE DE DADOS Muitas pessoas informam ao LinkedIn vários tipos de [...]
Na quarta feira, dia 06 de maio de 2020, foi reportado o vazamento de dados referente à BB Previdência, subsidiária do Banco do Brasil, que oferece fundos de previdência fechados para empresas e municípios, expondo informações de 153 mil clientes e 46 companhias.
O cyber criminoso, que identificou a falha de segurança afirmou que, pelo sistema da previdência privada destinado a empresas e órgãos públicos, é possível ter acesso a todos os dados pessoais de participantes e, de quebra, editar e cadastrar beneficiários, tudo em nome do próprio cadastrado.
Dentre os dados que foram expostos, destacam-se: nome, endereço, CPF, data de nascimento, e-mail, telefone, tipo de plano, CNPJ da empresa, além do valor bruto disponível em conta.
Não se trata, segundo o hacker, de um processo complicado ou que exija conhecimentos avançados em programação para ter acesso ao dados. Basta possuir o link de qualquer conta da BB Previdência, ou mesmo, para quem já é cliente do serviço, pode-se utilizar a mesma URL (endereço da página) e substituir aleatoriamente o “número sequencial do participante” que aparece no final do endereço.
Uma vez em posse do endereço completo (URL), é possível acessar, alterar e excluir os dados pessoais dos clientes. Ao acessar o endereço, as informações são mostradas na tela, por meio de uma página contendo um formulário.
Destaca-se que as consultas foram realizadas em ambiente seguro e legítimo, acessado por meio de protocolo de comunicação criptografada (HTTPS), contando com certificado digital válido.
A BB previdência se posicionou sobre o fato ocorrido, com a seguinte nota:
“Tão logo tivemos conhecimento da falha na ‘Retirada de Patrocínio’ suspendemos a funcionalidade que está no ar há 20 dias. Vamos adotar medidas tempestivas para corrigir os problemas identificados e garantir o perfeito sigilo dos dados dos clientes.”
A BB Previdência destaca que não houve prejuízo financeiro aos clientes, pois, não foi possível transferir dinheiro para outras contas com CPF diferente do titular do plano de previdência.
Ao expor os dados completos como nome, CPF, endereço, data de nascimento, entre outros, os criminosos podem utilizar tais informações para realizar outras atividades como por exemplo, financeiras.
Por isso, a utilização adequada de controles e testes de segurança é o modo mais adequado para proteger as aplicações e informações contra ações maliciosas, que possam expor o negocio e os clientes.
A CLARITY, por meio de seus especialistas, está preparada para auxiliar as empresas no mapeamento, priorização e tomada de ações para mitigação de riscos em aplicações web. Contando com ferramentas avançadas, a CLARITY fornece uma visão ampla e totalmente focada na proteção das informações e do negócio.
Contate-nos por meio de nossa página de contato, ou envie um e-mail para: [email protected]
Fontes:
A SAP SE, maior fabricante de software da Europa, informou que vários de seus produtos de computação em nuvem não atendem aos padrões de segurança cibernética da empresa. As vulnerabilidades ...
