Como eu “roubei” dados de mais de 8 milhões de clientes de um Banco!

Olá,

primeiramente gostaria de me apresentar.

Meu nome é Patrick Kaminski, sou especialista em Segurança de Sistemas pela PUC do Paraná e trabalho com TI desde 2005.

Este relato tem como objetivo apenas analisar alguns dados e levantar questionamentos a respeito da nossa segurança no mundo virtual. Em nenhum momento este relato incentiva a realização de crimes virtuais. E não é objetivo aqui difamar esta instituição financeira. Por este fato, cito-a neste texto apenas como BANCO, sem citar diretamente seu nome!

Agora, unindo o título deste artigo e a minha apresentação inicial, você deve estar pensando…

Ele deve ter hackeado o Banco! Como?

Infelizmente não utilizei NENHUMA das técnicas “secretas” de segurança de sistemas que aprendi durante todo este tempo. Confesso que conheço, pois preciso disso para proteger sistemas. Mas neste caso, não foi necessário NADA. Qualquer usuário comum que sabe utilizar a internet poderia ter acesso aos dados que obtive (e talvez mais pessoas obtiveram).

Mas vamos direto aos fatos!
Obtive acesso a informações de mais de 8 milhões de clientes do referido banco.

Aí vem a pergunta…
O que fazer com estes dados?
Vender? Divulgar? Tentar roubar cada uma destas pessoas?

Aí entrou um cálculo muito simples…

Falta de Tempo + Ética = Não fiz nada até então!

Nesta simples equação, acabou que me surgiu um pouco de tempo e o cálculo mudou um pouco…

Ética + Vontade de Fazer Algo a Respeito = Este artigo que você está lendo!

Como consegui todos estes dados?

Bom, mas vamos parar de enrolação e vamos aos fatos… 
Tudo começou na manhã do dia 29 de Maio de 2014, quando estava avaliando os resultados de busca do meu site no Google (SEO) e fiz um teste simples buscando por ele no Google, quando então vi algo que estranhei.

Busca Original no Google: 29/05/2014

Na sexta página, encontrei um resultado onde aparecia o que deveria ser o meu endereço de e-mail, porém, não era o meu endereço de e-mail, era um e-mail bem parecido, que alguém errou na hora de digitar:

patricx.sbf@gmail.com

Eu tinha um e-mail antigo parecido, neste sobra uma letra e outra está trocada (depois explicarei o motivo das falhas no cadastro).

Então por curiosidade cliquei no link para descobrir do que se tratava, e para minha surpresa se tratava de um arquivo CSV com dados de clientes de um conceituado Banco (onde eu me incluía nesta relação). O site em questão onde estas informações estavam, se tratava do portal de pontos do banco, que estava passando por uma reformulação por parte de uma empresa chamada Brasil/CT.

Listagem de arquivos do diretório

E então, acessando o endereço /images/Arquivos descobri a causa. O pessoal responsável esqueceu de desativar a listagem de arquivos dentro de diretórios do servidor.

Então desta forma tive acesso a cerca de 8,11 GB em mais de 300 arquivos de informações sobre mais de 8 milhões de clientes.

Primeira Reação

No momento que percebi que todos os dados existentes ali eram legítimos (incluindo aí meu CPF e outras informações), entrei em contato com o então Sac do Banco no Twitter. Como o Sac mudou de usuário no Twitter agora as mensagens deles estão como privadas, mas ainda estão lá. Por isso transcrevi elas abaixo junto com os meus tweets na ordem que foram postados.

Mensagem inicial dia 29/05/2014 11:10
SAC: @patrixsbs Olá Patrick! Queremos verificar o que aconteceu. Onde você localizou essa informação? (29/05/2014 13:12)
Resposta em 29/05/2014 13:40
SAC: @patrixsbs Patrick, vamos verificar. Envie e-mail para <ENDEREÇO-DE-E-MAIL> (29/05/2014 19:21)
Resposta em 30/05/2014 08:30
SAC: @patrixsbs Vamos verificar, Patrick. Boa tarde! (30/05/2014 12:23)
02/06/2014 11:22

Não colocarei aqui as informações trocadas via e-mail, pois o banco (assim como várias empresas) não autorizam a divulgação por questão de sigilo profissional, então respeitarei.

Quanto aos e-mails que foram de minha autoria, estes não são privados, mas apenas repassei meus contatos, quando em aproximadamente uma semana depois uma pessoa dizendo ser do referido banco me ligou.

ESQUECEMOS A LISTAGEM DE DIRETÓRIOS ATIVA!!!

Ao explicar a situação foi quase possível escutar uma cara de susto. Observei que era uma pessoa que entendia da área de TI, então expliquei que seria importante remover do Cache do Google também, pois de nada adiantaria apenas corrigir o problema, a “caca” já estava feita e até o tio Google já tinha descoberto.

Alguns dias depois esta mesma pessoa me ligou novamente agradecendo e pedindo para eu avisar se as informações ainda estivessem disponíveis.

Não faço parte do banco, não assinei nada, mas minha ética profissional faz com que eu não divulgue tais informações livremente neste mundo. Estou respeitando a política de privacidade do Banco (coisa que eles deveriam respeitar muito), pois tratam-se de informações de seus clientes, e que não devem estar soltas na internet.

As informações de caráter pessoal dos usuários […] não são divulgadas pelo Banco, exceto nas hipóteses expressamente mencionadas neste documento. Tais informações são coletadas por meio dos canais de atendimento e armazenadas, utilizando-se rígidos padrões de sigilo e integridade, bem como controles de acesso físico e lógico, observando-se sempre os mais elevados princípios éticos e legais.

Por isso, mantenho estes dados observando os MEUS princípios éticos e legais.

Analisando os Dados

Não tenho o objetivo de divulgar estes dados, ou pior, vendê-los. Por isto buscarei com o tempo analisar toda esta quantidade de dados puros sobre a base de clientes de um banco para trazer informações importantes.

Listagem de arquivos existentes

Sobre a minha pessoa em específico, encontrei apenas meu Nome, CPF, E-mail (errado), Tipo de cartão que possuo, e alguns outros números que ainda estão meio obscuros, um parece ser o limite do cartão.

Quanto ao e-mail cadastrado errado, isso se deve ao cadastro feito via telefone inicialmente. Após não conseguir nem ser atendido via telefone (me falavam que não era possível confirmar que era eu) descobri que cadastraram várias informações de forma incorreta para agilizar o cadastro. Meu RG estava cadastrado errado, meu telefone de contato, e até a cidade estava constando como Acrelândia (primeira cidade do Brasil em ordem alfabética). Mas isso são detalhes.

Agora de outras pessoas foi possível encontrar outras informações como a cidade e até mesmo números de telefone para contato.

Riscos

Não preciso nem comentar os riscos caso estas informações estivessem em posse de pessoas de má índole. Espere…. E se estiverem???

Alguma vez já ligaram para você dizendo ser de algum banco e você desconfiou que não era? Onde estas pessoas conseguem os seus dados?

Mas pode ficar tranquilo, não há problema caso você pague o Seguro Cartão Protegido mensalmente! Caso ocorra alguma falha de segurança e suas informações originem compras por aí, você está segurado. Então está tudo certo e não é crítico o vazamento de dados de um banco. O que você acha disso???

Campanhas

Bom, mas vamos prosseguir com a análise dos dados. Como comentei, estes dados se tratam de arquivos internos do programa de pontos do banco, chamado Esfera. Então são basicamente arquivos CSV e XLSX (Excel) contendo cargas de dados, relatórios, arquivos para importações, etc para campanhas do programa Esfera.

Arquivo em Excel com um resumo de uma campanha executada. 8.573.457 pessoas cadastradas!

Antes disso, deixe eu explicar melhor o que seria uma campanha. Campanha em resumo, seria uma espécie de promoção, geralmente com prazo definido, com o objetivo de oferecer prêmios para os participantes. Porém, a motivação principal da maioria das campanhas é basicamente o lucro para a empresa que faz a campanha (Se você disser que uma campanha é apenas para fidelizar a base de clientes, me responda qual o possível resultado desta fidelização a longo prazo?).

Culpados

Então, analisando os dados, encontrei cargas iniciais, relatórios, erros de importações e inclusive testes de algumas das campanhas efetuadas.

Algo que me chamou atenção é quanto aos testes efetuados.

Quero que você tente responder às perguntas a seguir…

  1. Digamos que vou realizar uma campanha utilizando uma base de clientes. Posso efetuar um teste com 8 milhões de registros???
    Possível Resposta: Poderia mas iria demorar demais, e consumiria recursos de forma desnecessária.
  2. Então posso utilizar apenas um único cliente para testar. Pra isso é necessário um CPF para testar. Agora me responda…
    Quantos números de CPF você lembra sem buscar em nenhum lugar???
    Possível Resposta: 1, o seu próprio CPF.

Desta forma, é muito fácil descobrir quem foi o principal responsável pela geração dos dados das campanhas.

Informações de identificação foram ocultadas

Encontrei então em alguns arquivos de tamanho muito inferior aos demais, contendo geralmente um único registro, envolvendo um CPF, um Nome e um E-mail. Por curiosidade, este e-mail aponta para um domínio especial.

Não foi nenhuma surpresa acessar este site e descobrir que se trata de uma empresa (Grupo LTM) onde o foco é a criação de campanhas para fidelização de bases de clientes. Coincidência?

Não quero apontar culpados, tenho aqui várias informações como CPFs e outras coisas, onde poderia expor aqui os possíveis responsáveis pelas campanhas (é muito fácil de encontrá-los no Linkedin inclusive).

Talvez este vazamento poderia ser intencional apenas para passar as informações com facilidade de uma empresa para outra (espero que não), talvez foi responsabilidade da equipe do Banco, ou da equipe da Brasil/CT, ou da equipe do Grupo LTM, ou talvez de todos, ou talvez ninguém (pouco provável mas poderia ter acontecido algum ataque).

Pouco importa, o fato que é somos orientados pelas instituições financeiras a cuidar dos nossos dados, instalar plugins, criar assinaturas digitais, não anotar nossas senhas e diversas orientações de segurança. Enquanto isso, eles mesmos cometem falhas básicas, e muitas vezes acabam prejudicando pessoas que nem sabem o que está acontecendo.

Conclusão

Espero de forma confiante, que o Banco, assim como as demais empresas envolvidas, ao lerem este relato, revisem suas regras de segurança. E saibam que em nenhum momento divulguei ou vendi tais informações, e me comprometo a não divulgar livremente estes dados.

Este é apenas um dos bancos existentes no Brasil. E não é o único que apresenta falhas de segurança… Infelizmente esta é uma realidade que temos que ter conhecimento.

Espero ter deixado claro as minhas opiniões a respeito, e também que o meu objetivo é que tenhamos apenas uma internet mais segura do que a que temos hoje!

P.S.: Quer receber informações interessantes no seu e-mail?
Se inscreva então na minha newsletter! :)

Abraço,
Patrick Kaminski
Agência Liker!

Patrick Kaminski é especialista em Segurança de Sistemas, e atua
na área de TI como desenvolvedor web, desenvolvedor de sistemas,
palestrante, consultor e professor desde 2005.