Um suposto ataque hacker realizado ao longo das últimas semanas expôs os dados pessoais de milhares de clientes, funcionários e executivos do Banco Inter, um dos maiores bancos totalmente digitais do Brasil. Os dados estão presentes em um arquivo criptografado de 40 GB. Por lá, são encontradas fotos de cheques, documentos, transações, e-mails, informações pessoais, chaves de segurança e senhas de cerca de 100 mil pessoas.

Foto: TecMundo

Na terça-feira passada (24), o TecMundo recebeu um manifesto de 18 páginas assinado pelo hacker "John" que detalha de maneira técnica como teve acesso aos dados e quais foram as suas motivações. Além disso, ele também detalha como funcionou uma provável extorsão ao Banco Inter, com prazos e dinheiro envolvido para o caso ser "deixado de lado" e resolvido internamente. De acordo com John, o pagamento não foi realizado.

Em nota, o Banco Inter comunicou a extorsão feita pelo hacker e alegou que a notícia é falsa:

"O Banco Inter comunica que foi vítima de tentativa de extorsão e que imediatamente constatou que não houve comprometimento da segurança no ambiente externo e nem dano à sua estrutura tecnológica. A companhia esclarece, ainda, que comunicou o fato às autoridades competentes e a investigação corre em sigilo.
Reforça também que, conforme a Lei 5.250/1967, Art. 16, é crime a divulgação de "notícias falsas ou fatos verdadeiros truncados ou deturpados" a respeito de instituição financeira, ou para causar “perturbação da ordem pública ou alarma social".

O TecMundo confirmou 81,609 mil nomes no vazamento, enquanto o hacker afirma serem mais de 300 mil nomes envolvidos, o que incluiria todos os clientes do banco — muitos documentos dentro do arquivo de 40 GB estavam protegidos por senhas, não sendo possível a confirmação das outras milhares de contas alegadas.

O Banco Inter, que também recebeu o arquivo de 40 GB, negou uma invasão e comentou: "O Banco Inter segue as regulamentações de segurança aplicáveis à natureza do serviço prestado, estando em conformidade com as boas práticas no que se refere à proteção dos dados pessoais de seus clientes. Nesse sentido, busca constantemente o aperfeiçoamento de sua segurança digital. Inclusive, é pioneiro na migração de dados para computação em nuvem junto ao seu parceiro Amazon Web Services".

• Segundo o hacker, o sistema bancário brasileiro não está completamente preparado para a migração massiva para a nuvem, e este tipo de brecha seria uma prova dessa afirmação:
"Estamos quase às vésperas da decisão do grupo de trabalho que definirá as regras e sob quais condições e limites os bancos poderão adotar Cloud Computing em larga escala. Enquanto isso, as FINTECHs se antecipam e nadam de braçada nessa seara, sem esperar a decisão final, e de certa forma pressionando por uma decisão em favor da adoção ampla e pouco restrita da nuvem. Nesse estudo de caso, abordaremos o Banco Inter (antes Banco Intermedium) que por sua vez também está às vésperas de um lançamento de oferta pública inicial (IPO no inglês) na bolsa de valores. Buscando ser um unicórnio FINTECH de fato. Mas estamos prontos para esse salto?", pergunta o hacker antes de detalhar a invasão.

Nome, nome da mãe, número do documento, renda mensal e resposta de segurança de uma das contas vazadas

No manifesto, John deixa claro que fez contato com o Banco Inter para a correção do problema. Contudo, exigiu uma quantia não revelada para pagamento e alertou que, se em 15 dias não obtivesse uma resposta, revelaria o caso para o público. Neste momento, o banco agiu de maneira correta: como acontece com os ransomwares, a indicação é que PCs sequestrados e extorsões não sejam pagas por pessoas físicas e empresas.

Na segunda-feira (30), já foram encontradas supostas indicações da venda dos dados vazados em sites específicos. Um grupo identificado como 'John Carter', de provável ligação com o hacker que enviou os dados ao TecMundo, está vendendo as informações completas e de maneira exclusiva por 10 bitcoins (BTC 10). Neste momento, a unidade do Bitcoin está custando R$ 33 mil: então, os 40 GB podem ser adquiridos por cerca de R$ 330 mil.

Primeiro contato do hacker enviando os 40 GB de dados

• Após uma investigação, descobrimos os dados foram vendidos. Mais informações sobre a venda, você encontra logo abaixo.
Antes de detalhar o que pode ser encontrado no arquivo de 40 GB, o hacker deixa a seguinte mensagem: "Estamos diante de um dos maiores problemas de segurança que um banco pode sofrer, e um dos problemas de maior escala já vistos na história recente dos sistemas bancários brasileiros. Problema grande suficiente para comprometer não só o rating do banco Inter frente ao Banco Central, mas comprometer o rating de todos os bancos digitais, ou bancos clássicos que planejem adotar soluções de cloud computing em grande escala. E claro, potencialmente, afetar o resultado e as recomendações do Banco Central e do working group da Febraban para indicar até que ponto um banco ou uma fintech deve usar recursos de cloud".

Parte do vazamento

O que vazou?

Dos 40 GB enviados ao TecMundo, cerca de 30 GB supostamente são dados pessoais dos correntistas do Banco Inter. Por dados pessoais, neste caso, estamos falando de informações pessoais completas, com ficha cadastral, comprovantes, senhas de cartão descriptografadas (antigas e novas, registro de troca de senha), número de cartão e até mesmo CVV e data de expiração/validade dos cartões.

Vale relembrar que o TecMundo confirmou o vazamento de informações sensíveis de 81 mil contas, e não a totalidade de mais de 300 mil alegada pelo hacker.

Abaixo, você acompanha os tópicos que elencam todas as supostas informações expostas de clientes do Banco Inter — informações na íntegra, como no manifesto recebido:
• Dados cadastrais, incluindo código de segurança e senha, de todos os quase 400.000 clientes e correntistas do Banco Inter.
• Base de cadastro Mastercard com cadastro completo, incluindo e-mails, telefones, endereço, nome do pai, nome da mãe, documentos, telefone fixo e celular.
• Senha dos cartões Mastercard, usados para débito, crédito, para segundo fator de autenticação de transações como pagamentos de TED e pagamento de boletos.
• Fluxo de troca de senha do cartão Mastercard, incluindo senha antiga e senha nova, de todos os clientes, coletado por mais de um mês — "e que ainda está sendo coletado nesse momento", adiciona o hacker.
• Todos logs transacionais de todas as operações e transações bancárias realizadas por todos os clientes, incluindo valor, conta origem, conta destino a partir de fevereiro, e com algumas recuperações de janeiro.
• Todas as transações, sem exceção, realizadas pelo CD Pro (o que eles chamam de conta corrente profissional, mas que na prática é apenas a conta digital PJ, pessoa jurídica). "Como esse sistema já nasceu na AWS, o histórico deles é muito maior, e eu copiei todas as transações de junho de 2017 até março de 2018", adicionou.

Parte do vazamento

• Todos os documentos e contratos de serviço, em formato pdf e tiff (imagem), incluindo CPF, RG, CNH, comprovantes e, eventualmente, declaração de imposto de renda para aqueles que pedem crédito ou aumento de limite do crédito.
• Centenas de fotografias em formato tiff de cheques de clientes diversos usados pelo serviço de compensação de cheques por imagem no aplicativo.
• Padrões de url de sistemas no cloud front
• Usuário e senha de FTP do banco Inter na empresa processadora de cartões conductor.
• Dump de todos os arquivos e dados do FTP da conductor.
• Chaves de API e urls usadas para validar a senha master na processadora de cartões fast solutions.
• Chaves privadas ec2 usadas na AWS, chaves ssh, chaves de API de serviços e até chave privada do certificado ssl wildcard "em produção nesse exato momento".
• Senhas de diversos funcionários da Virtual Sistemas e grupo Magnus, empresas terceirizadas do banco Inter.
• Código fonte do novo core banking.

Informações dos cartões de clientes e funcionários

Invadindo o Banco Inter?

Ao longo das 18 páginas de seu manifesto, o hacker John explica detalhadamente como fez para obter os dados. Não foi fácil: fica claro que aconteceu um jogo de paciência, e foram semanas minerando os dados por meio de vários tipos de ataques diferentes aos servidores e base de dados.

"O mapa do tesouro estava claro: precisava transpor o Inapsula, que ia chegar no cloud front, do CF eu chegaria aos servidores de aplicação, talvez vários, balanceados, rodando apachecoyote, tomcat e numa aplicação em jsf/2.0, feita em java faces. Mais json e menos xml/soap, estava legal, mas eu tinha o mapa, tinha versões e tinha um plano", diz.

"Uma vez que eu já tinha como copiar todo payload chegando e saindo da aplicação, como acessar por túnel SSH reverso sem precisar de novo transpor o Incapsula, e agora com chaves da Amazon para até escolher onde salvar meus dados já que as instâncias eram descartáveis e voláteis, eu só precisava repetir as rotinas em instâncias novas que subissem, copiar os dados pra depois processar e separar lixo do que era útil. O resultado foi esse: 40gb de dados úteis, nada de lixo, exfiltrados sem ninguém perceber", diz ao final da explicação.

Em conversa com o TecMundo, John comentou que o trabalho realizado para obter os dados do Banco Inter levou cerca de sete meses. "Um funcionário do banco foi inconsequente durante seu trabalho e, através deste erro, conseguimos entrar em sistemas do banco e copiar os dados", explicou de maneira simples a invasão.

Resolvemos não revelar como o ataque completo, descrito no manifesto, foi realizado por questões de segurança. O próprio hacker deixa isso claro em um parágrafo:

"Um incidente sem precedentes, com números de cartão de crédito, cvv, senha de cartão, conta corrente, senhas de conta corrente, fotos de documentos, bases cadastrais inteiras. Sigilo bancário, saldo, transações, dados pessoais. Sabe aquele lema da internet, quando o serviço é gratuito, o produto é você? Pois bem, no caso da conta gratuita do Inter, o produto 'você' agora potencialmente pertence a todos que tiveram acesso a esses dados, ou, com base nesse artigo, conseguirem explorar e potencialmente aumentar a taxa de exfiltração".

Parte do manifesto enviado

Dados já devem ser vendidos na internet

Em outra denúncia recebida pelo TecMundo, os dados de clientes e funcionários do Banco Inter já estão sendo supostamente vendidos na internet. Porém, os arquivos ainda não atingiram a surface.

Por meio da denúncia, soubemos que o arquivo de 40 GB provavelmente é vendido no site Dream Market, que se encontra na Deep Web, acessada via navegador Tor (por exemplo). Enquanto fontes da área de segurança consultadas pelo TecMundo indicam que a venda pode ser falsa, o texto que acompanha a venda do arquivo é similar ao encontrado no manifesto enviado pelo hacker John.

O outro lado: entramos em contato com John para saber sobre a suposta venda. Segundo o hacker, foram realizadas vendas dos dados vazados do Banco Inter, contudo, as vendas não foram realizadas no Dream Market, mas em outros domínios. Mais detalhes, valores e quantos GB's foram vendidos não foram comentados pelo hacker.

IPO do Banco Inter

O Banco Inter, antigo Intermedium, foi fundado em 1994 pela família Menin, dona da construtora MRV. Segundo dados de 2011, coletados pela Economática, a MRV Engenharia é a empresa do setor de construção de edifícios residenciais com o maior lucro na América Latina e nos Estados Unidos.

A principal bandeira do Inter é ser o primeiro banco 100% digital e a gratuidade na abertura de contas, pedido de cartão e transferência. Segundo a empresa, a média diária de abertura chegou aos 2 mil em dezembro de 2017. O Inter espera fechar 2018 com 1 milhão de correntistas — atualmente, na casa dos 400 mil.

O Inter abriu seu IPO (Oferta Pública Inicial) recentemente e vendeu suas ações por R$ 18,50, captando R$ 722 milhões. A faixa de preço das ações variava entre R$ 18 e R$ 23; a oferta primária ficou em R$ 541 milhões e vai para empresa, enquanto isso, a secundária captou R$ 180 milhões (voltada para acionistas vendedores).

Cheque de um suposto cliente do Banco Inter

Como se proteger?

O TecMundo consultou Emilio Simoni, diretor do dfndr lab, laboratório da PSafe especializado em cibersegurança, sobre dicas de melhores práticas após um vazamento de dados. De acordo com Simoni, caso os dados vazados sejam informações pessoais (RG, CPF, endereço, telefone etc), "uma das primeiras medidas é trocar todas as senhas utilizadas e usar combinações que não sejam de fácil descoberta (como data de aniversário, por exemplo), além de ter senhas únicas para cada serviço. Caso o vazamento de dados pessoais se confirme, é muito importante que as pessoas redobrem a atenção em relação a quaisquer comunicações que chegarem por correios ou e-mail, para se certificarem de que não são comunicações falsas, como boletos, por exemplo. Em relação ao CPF, é possível buscar serviços de monitoramento de utilização do documento".

Por outro lado, o vazamento bancário é um pouco mais trabalhoso: "A pessoa que desconfiar que teve seus dados vazados deve entrar em contato com sua agência bancária imediatamente e solicitar o bloqueio de suas contas e/ou cartões, para evitar que haja qualquer movimentação fraudulenta. Após isso, é preciso alterar as credenciais de acesso (senhas, número do cartão, etc)".

"Os aplicativos bancários devem sempre se comunicar de forma segura com o servidor do banco, verificando a autenticidade do certificado digital", disse Emilio Simoni. "Ainda assim, é importante que usuários de aplicativos bancários tomem algumas medidas de proteção, como não acessar o app em redes públicas de wi-fi (tais como cafeterias, hotéis, eventos etc) e possuir um aplicativo de segurança (antivírus) certificado, evitando assim que malwares se sobreponham aos aplicativos de bancos e, com isso, consigam acessar os dados dos usuários".

Registro de transações (censurado)

Com TecMundo