Banco Inter confirma vazamento de dados e culpa "pessoa autorizada"

O Banco Inter, primeiro a ser inteiramente digital no Brasil, confirmou na quinta-feira (16) pela primeira vez, que dados de seus clientes foram vazados na internet. A tentativa de extorsão feita por hackers foi noticiada no começo de maio, três dias depois de o banco começar a negociar suas ações na Bolsa de Valores brasileira (B3).

Em nota enviada aos correntistas, o banco disse que a "exposição dos dados foi de baixo impacto" e que os clientes mais gravemente afetados foram notificados. Além disso, alegou que não houve ataque hacker, porque as informações foram vazadas por uma pessoa autorizada.

O vazamento está sendo avaliado pela Justiça de Brasília, em um caso que corre em sigilo, e também é motivo de um processo na Comissão de Valores Mobiliários (CVM), pois o Inter tem capital aberto desde abril.

• Banco Inter confirma extorsão, mas nega dano à segurança
• MP vai investigar vazamento de dados do Banco Inter
• Indenização milionária por vazamento é aviso pedagógico

O caso envolve um suposto vazamento de dados de milhares de clientes do banco, que tem sede em Belo Horizonte. Na época, especulou-se que hackers tiveram acesso aos servidores da instituição e coletaram informações pessoais, senhas, chaves de segurança, cópias de cheques e emails de cerca de 100 mil pessoas, segundo informações passadas pelos supostos cibercriminosos ao site TecMundo.

Um suposto hacker chamado "John" entregou um manifesto com detalhes sobre o possível roubo de informações. O processo, diz ele, teria envolvido diferentes tipos de ataques à base de dados do banco, "sem ninguém perceber", durante vários dias. Ele pediu que o Banco Inter efetuasse um pagamento dentro de 15 dias. Se a instituição financeira optasse por não pagar, a falha de segurança seria revelada ao público.

O arquivo com as informações teria 40 GB cheios de dados como telefone, email, nome da mãe e do pai dos correntistas, número de celular, senha de cartões de débito e crédito e registros de todas as transações feitas (valor, conta de origem e conta de destino) por cada cliente. Além disso, imagens de documentos, contratos e cheques também teriam vazado.

O criminoso criticava na carta a falta de controles de segurança de um banco de dados na nuvem, tecnologia usada pelo Banco Inter --e outros, como Nubank, Neon, Original, Netshoes.

Em nota enviada ao UOL na época, o Banco Inter confirmou a extorsão, mas negou que “houve comprometimento da segurança no ambiente externo” e “dano à sua estrutura tecnológica”. Agora, a nota diz que, em maio, o banco identificou um incidente de segurança em seu sistema, frisando que "alguns dados foram acessados e divulgados", mas não houve ação externa.

"Reforçamos a nossa convicção de que não houve ataque cibernético externo aos nossos sistemas que acarretasse ruptura ou comprometimento da nossa segurança. Acredita-se que pessoa autorizada a atuar em nossos sistemas tenha quebrado o seu dever de sigilo, sua ética profissional e as regras do nosso Código de Conduta e, após tentativa frustrada de nos extorquir, divulgou, sem autorização, algumas informações relativas a pequena parcela de nossos clientes à época", diz a nova nota.

• Clique aqui para ver dicas de como se proteger
• Como se proteger do vírus que exige 'nudes' para liberar o PC
• Estão usando meu perfil? Como saber se hackearam meu Netflix?

A instituição disse, porém, que as investigações não constataram um ataque cibernético externo que comprometesse a segurança dos dados dos correntistas.

"Acreditamos que a pessoa autorizada a atuar em nossos sistemas tenha quebrado seu dever de sigilo (...) e, após tentativa frustrada de nos extorquir, divulgou, sem autorização, algumas informações à pequena parcela de nossos clientes à época", diz a nota.

O banco informou, ainda, que contratou empresas especializadas para avaliar os danos, garantindo que estes foram "quase todos de baixo impacto, sendo que clientes mais sensíveis foram contatados".

Ao jornal "O Estado de S.Paulo", o Inter disse que não vai se pronunciar além das informações enviadas aos correntistas.

Esta foi a primeira vez que o banco digital assumiu o vazamento. Inicialmente, o Inter alegou aos acionistas que eram "falsas" as notícias publicadas a respeito.

Em paralelo, o caso foi investigado pelo Ministério Público do Distrito Federal e Territórios (MPDFT), que confirmou que dados pessoais de 13 mil clientes, como nome completo, CPF, CNPJ e dados bancários, eram vendidos na internet.

O MPDFT quer que o Inter pague indenização por danos morais de R$ 10 milhões como pena.

A indenização milionária deve ser paga porque o banco “primeiro banco a utilizar tecnologias móveis que permitem aos seus usuários um controle rápido e ‘seguro’ das contas, deveria oferecer um grau de segurança além daquele oferecido pelos bancos tradicionais”, conforme explica o promotor Frederico Meinberg Ceroy.

Para o especialista do BVA Advogados, há na conduta do órgão, que ele julga correta, uma tentativa de dar uma lição ao mercado:

Existe até um caráter pedagógico. O que o pessoal do MPDFT quer é dar um aviso para a sociedade: as indenizações vão existir e elas vão tentar cobrir os danos das pessoas

O Banco Inter é controlado pelos donos da construtora MRV. No final de janeiro, a instituição financeira registrava 435 mil correntistas. Ela se tornou popular por ser 100% digital e porque não cobrar para abrir contas, fazer transferências e solicitar cartões. (Com Estadão Conteúdo)