Banco português expôs dados sensíveis de clientes

A falha na configuração do sistema estaria permitindo que dados sensíveis de clientes do BPG fossem facilmente visualizados. A falha também indicava que o fornecedor do serviço não estaria em conformidade com normas como a ISO27001 e PCI-DSS, que são consideradas essenciais para este gênero de instituições. Como os dados estariam sendo atualizados em tempo real, isso poderia permitir que atacantes tivessem acesso a informações atualizadas sobre os clientes, e potencialmente usar essa informação para ataques direcionados.

Os pesquisadores entraram em contato com Nearsoft para reportar a falha, que foi a seguir resolvida. Apesar do risco, o banco não fez qualquer comentário público sobre o assunto. Embora a falha fosse de um fornecedor de serviços do Banco Português de Gestão, e embora o fornecedor disponibilize suas plataformas para outras organizações, apenas o BPG estaria afetado segundo o Cibernews.

Os dados expostos eram

• Bank account numbers
• IBAN numbers
• Account balances
• KYC documents
• ID card numbers, including citizen ID numbers
• Email addresses
• Phone numbers
• Taxpayer numbers
• Names
• Places of employment
• Occupation
• Marital status
• Dates of birth
• Home addresses
• Answers to security questions
• Authentication secrets
• Internet banking session tokens

Créditos: CISO Advisor