A Consigacred, correspondente que representa 50 bancos e oferece diversos tipos de serviços financeiros, acabou expondo informações bancárias de mais de 1,4 milhão de brasileiros devido a um vazamento de dados, conforme apurado com exclusividade pela The Hack.
A investigação partiu da denúncia de uma fonte anônima, que detectou um problema estrutural no sistema de gestão da companhia: ele possuía um diretório público usado para armazenar planilhas no formato CSV. Cada uma dessas planilhas, porém, estava recheada com dados de clientes.
O problema era tão grave que não foi necessário qualquer tipo de conhecimento técnico para explorar a falha — bastava saber exatamente qual era o endereço do diretório em questão para acessá-lo sem dificuldades e fazer download dos documentos.
Ao que tudo indica, a URL ainda era indexada pelos mecanismos de busca e poderia ser encontrada empregando-se uma simples pesquisa no Google. No total, a The Hack obteve acesso a 10 planilhas, sendo que cada uma possuía um número distinto de registros.
Confira: Guia oferece orientações sobre adequação à LGPD
A planilha mais volumosa listava 1.048.576 nomes; em seguida, temos uma com 142.898 clientes e outra com exatos 100.000. Somando os outros arquivos menores (cada um com a quantidade de registros variando de 3 mil a 40 mil), chegamos ao montante de 1.414.489 brasileiros afetados pelo incidente.
Não foi possível confirmar se existem registros repetidos — porém, tal número final é realista, visto que a própria Consigacred se orgulha de ter feito 2.579.868 contratos só durante o último ano.
O que foi exposto no vazamento de dados?
Ao que tudo indica, todos os clientes afetados são indivíduos que já assinaram um contrato (vigente ou vencido) de empréstimo com a Consiga Cred. As informações encontradas pela The Hack em cada uma das planilhas são as seguintes:
Dados pessoais: nome completo, número do CPF, endereço completo, número do telefone com DDD, data de nascimento;
Dados bancários: valor do salário (ou benefício), valor da margem consignável, ID e agência do banco de pagamento, número da conta bancária, ID da instituição pagadora, ID do banco responsável pelo empréstimo, número do contrato, valor do empréstimo, data inicial e final de desconto em folha, quantidade e valor das parcelas e se o empréstimo foi via cartão de crédito ou não.
Foi possível identificar outros campos numéricos, mas não conseguimos compreender o seu significado (possivelmente, são dados de uso interno dos operadores da Consigacred).
Com toda essa gama de informações, fica fácil para qualquer criminoso aplicar golpes de engenharia social nos clientes da instituição.
Tendo em mãos tantos detalhes sobre as operações financeiras das vítimas, um golpista conseguiria se passar pela Consiga Cred e ganhar a confiança do alvo, convencendo-o a, por exemplo, realizar uma transferência monetária sob o pretexto de pagar uma parcela do empréstimo.
Nota de esclarecimento
A Consiga Cred enviou para o site LGPD Brasil uma Nota de Esclarecimento sobre o ocorrido. Confira na íntegra:
Tendo em vista o teor da reportagem veiculada pelo site “The Hack”, em 02/12/2019, com o tema “Exclusivo: financeira expõe informações bancárias de mais de 1,4 milhão de brasileiros”, a Consigacred esclarece o seguinte:
Primeiramente, ressalta-se que a atuação do Correspondente Bancário é devidamente regulamentada pelo Banco Central do Brasil, nos termos da Resolução 3.954/2011, tendo como atividade a intermediação entre as instituições bancárias e seus clientes. Isso viabiliza ao cliente final a contratação de produtos e serviços.
Nesse ponto, cumpre destacar que a Consigacred se preocupa com a segurança dos dados e informações de seus clientes, tanto que atua em consonância com a Lei Geral de Proteção de Dados, ainda que esta não esteja em vigor.
Sendo assim, a segurança de dados e informações da empresa e seus respectivos clientes é uma prioridade da Consigacred, de modo que são tomadas todas as precauções necessárias para que nenhuma informação confidencial seja colocada em risco.
Em razão disso, o sistema de gerenciamento de dados da Consigacred fora confeccionado por empresa terceirizada e especializada, a qual garante a segurança de todos e quaisquer dados de propriedade da Consigacred, com frequentes manutenções, atualizações e revisões do aludido sistema, para que este opere com máxima segurança, dentro dos ditames legais existentes.
Em relação à suposta exposição de dados dos clientes, veiculada na mencionada publicação, a Consigracred informa que, após análise criteriosa dos seus sistemas de segurança, não foi constatada qualquer invasão e/ou ‘vazamento’ de dados sigilosos.
Contudo, por precaução e, sobretudo, segurança dos dados de seus clientes, a Consigacred contatou empresa especializada para que esta realize novas atualizações e monitore ainda mais a segurança do sistema que, como dito, não fora e/ou se encontrava exposto a qualquer pessoa. Nesse contexto, a Consigacred reitera que preza pelos padrões de segurança em relação ao sistema de gestão de dados da empresa e de seus clientes, prática essa constantemente revisada em suas políticas e procedimentos internos.
Ratifica, ainda, que a salvaguarda da informação é prioridade da empresa, alinhada com as melhores práticas de proteção reconhecidas internacionalmente e exigidas pelos órgãos reguladores. Assim sendo, a Consigacred permanece à disposição de seus clientes para eventuais esclarecimentos que se fizerem necessários.
