Diferentes brechas de segurança encontradas nos sites do Banco do Brasil, do Bradesco, do serviço de pagamentos Moip e da Boa Vista Serviços (administradora do cadastro de devedores SCPC) expuseram recentemente dados privados de milhões de pessoas.
O Banco do Brasil e a Boa Vista Serviços corrigiram os erros após avisados pela Folha; já o Bradesco e Moip negaram que suas páginas tenham falhas.
Leia abaixo as notas divulgadas pelas empresas:
BANCO DO BRASIL:
"O Banco do Brasil corrigiu imediatamente falha pontual restrita às consultas de propostas de Seguro Residencial. O problema não teve associação com qualquer tipo de transação financeira. Portanto, não trouxe riscos para clientes. O BB avalia que o problema decorreu de atualizações constantes que visam o aprimoramento dos sites. Por fim, o BB informa que revisa periodicamente procedimentos de controles de qualidade, a fim de reduzir os riscos operacionais. Além disso, o Banco segue normativos internacionais que tratam de segurança de TI em bancos."
BRADESCO:
"O Bradesco esclarece que trata-se de uma URL [link] válida do comércio eletrônico do banco. A mesma não representa falha e nem vulnerabilidade, pois não é possível alterar os dados do boleto, porém permite que a loja conveniada ao banco mande a URL para que o comprador gere o boleto para pagamento. Por ser uma URL é passível de aparecer no Google como qualquer outra página. O fato de mexer no MerchantId e OrderId [parâmetros que, se alterados, exibem outros documentos] e aparecer outros boletos gerados também não implicam em falha ou fraude, pois não é possível alterar o status da compra ou disponibilizar informações que sejam sigilosas. A URL é segura e utiliza o protocolo de segurança SSL, autenticado com certificado digital válido, atendendo as melhores práticas de segurança. Vale salientar que esta solução está disponível neste formato há mais de 10 anos e o Banco nunca registrou fraude ou problemas junto aos clientes."
BOA VISTA SERVIÇOS/SCPC:
"O serviço de autoconsulta de CPF é oferecido gratuitamente para que o consumidor consulte sua situação. Temos cerca de 2,5 milhões de usuários cadastrados. A aplicação é separada dos outros ambientes de negócios da Boa Vista --isso é um ponto importante. Além disso, a consulta é bem limitada.
Ela, como uma aplicação que tem o seu público amplo, é desenhada com termos de uso. O consumidor deve consultar o seu CPF, e não o de outras pessoas.
Identificamos isso, mas já bloqueamos aquele caminho. É um caminho técnico e que o usuário comum do portal não faria, porque precisa de um conhecimento para abrir linhas de código. Já está bloqueado."
MOIP:
"O Moip vem a público esclarecer a questão sobre os boletos indexados pelo buscador Google. O Moip não divulga, transmite ou publica qualquer informação de seus clientes, tampouco permite a indexação de dados particulares nos buscadores da internet. Todos os boletos gerados a partir das soluções do Moip são automaticamente retiradas de qualquer indexação deste ou qualquer outro buscador. As URLs dos boletos em questão foram disponibilizados pelos próprios vendedores em seus sites, permitindo assim suas indexações pelo Google.
Já entramos em contato com a equipe técnica do Google para o impedimento de novas indexações futuras, ainda que publicadas por terceiros."
| Editoria de Arte/Folhapress | ||
 |