Um grupo de investigadores revelou ter descoberto uma falha que afeta o Banco Português de Gestão, e que estaria a permitir que dados sensíveis de clientes da entidade bancária fossem acedidos por terceiros.
Os investigadores da Cybernews referem ter identificado, no passado dia 2 de Maio, uma configuração incorretamente aplicada em sistemas associados com o BPG, associados com os sistemas da Nearsoft – um fornecedor de plataformas digitais de banking.
A falha na configuração do sistema estaria a permitir que dados sensíveis de clientes do BPG fossem facilmente acedidos. Esta falha também indicava que o fornecedor do serviço não estaria em conformidade com normas como a ISO27001 e PCI-DSS, que são consideradas essenciais para este género de instituições.
De acordo com os investigadores, os dados que poderiam ser potencialmente comprometidos englobam:
- Números de contas bancárias
- Números IBAN
- Saldos de contas
- Documentos KYC (Conheça o Seu Cliente)
- Números de cartões de identificação, incluindo números de identificação de cidadão
- Endereços de email
- Números de telefone
- Números de contribuinte
- Nomes
- Locais de emprego
- Profissão
- Estado civil
- Datas de nascimento
- Endereços de residência
- Respostas a perguntas de segurança
- Segredos de autenticação
- Tokens de sessão de banco online
Os investigadores afirmam que a falha na configuração estaria a permitir o acesso a dados sensíveis dos utilizadores do banco desde meados de Abril.
Estes dados estariam ainda a ser atualizados em tempo real, o que poderia permitir aos atacantes terem acesso a informações atualizadas sobre os clientes, e potencialmente usar essa informação para ataques direcionados e outros esquemas.
Os investigadores terão contactado a Nearsoft a expor a falha, que foi entretanto resolvida. No entanto, a entidade não terá deixado qualquer comentário público sobre a falha.
Embora a falha fosse associada com um fornecedor de serviços do Banco Português de Gestão, e este fornecedor disponibilizar as suas plataformas para outras entidades, apenas o BPG estaria afetado.
Nenhum comentário
Seja o primeiro!