Banco PAN confirma vazamento de dados em invasão hacker
O Banco PAN confirmou a ocorrência de um incidente cibernético envolvendo a sua área de cartões. O incidente foi denunciado em uma série de posts publicada pelo jornalista Felipe Payão (@felipepayao) em sua conta do Twitter, com base em material recebido. Um dos materiais foi um arquivo de 1GB contendo dados de 64 mil contas, segundo os posts. O material de posse de cibercriminosos teria um total de 25GB, conforme o site CISO Advisor.
A denúncia anônima afirma que, no total, seriam 22 milhões de contas comprometidas, enquanto a assessoria de imprensa do banco declara que o número é falso. Entre as informações mostradas no documento, estão nome completo, CPF, data de nascimento, endereço residencial, informações sobre cartões de crédito e número da conta mascaradas, saldo devedor e valor da fatura.
O banco explicou que a origem do incidente estava numa plataforma de tecnologia utilizada pela sua área de atendimento a clientes. O banco PAN acrescentou que não houve invasão à sua infraestrutura ou indisponibilidade do seu sistema com origem nesse incidente. A fonte do CISO Advisor que confirmou o incidente com o banco acrescentou que a organização estaria sendo vítima de uma tentativa de extorsão, com negociações iniciadas uma semana atrás. Os cibercriminosos teriam exigido dinheiro para não fazer o vazamento dos dados.
A fonte do CISO Advisor supõe que o incidente, confirmado pelo PAN, tenha origem na existência de informações ou credenciais que estiveram em posse, possivelmente, de um insider, ou seja, alguém que trabalha na organização ou para ela. Em comunicado, o PAN explicou:
“Detectamos recentemente uma fragilidade na plataforma de um fornecedor de tecnologia, utilizada na Central de Atendimento a clientes do segmento de cartões. Ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa.
De acordo com a apuração em curso, já foi possível constatar que não houve indisponibilidade de sistema ou invasão à infraestrutura do Banco, tendo sido confirmado, no entanto, que a exploração da vulnerabilidade permitiu a cópia não autorizada de dados cadastrais, de limite disponível e saldo devedor, sem que tenham sido expostos dados completos de cartão, senhas ou qualquer dado que incorra em risco financeiro direto para o cliente. Reforçamos que a segurança das informações é nossa prioridade e todas as autoridades competentes foram notificadas”.