Chave de criptografia privada do Banco Inter vazou na internet
Recurso importante de segurança poderia ter sido usado para enganar clientes
Lucas Agrela
Publicado em 17 de maio de 2018 às 05h55.
Última atualização em 17 de maio de 2018 às 09h28.
São Paulo – Uma suposta chave de criptografia privada do Banco Inter foi revogada após ter vazado na internet. Pouco depois de o pesquisador de segurança digital Thiago Ayub ter compartilhado um teste que mostrava uma troca de mensagens criptografada com a chave em questão, ela foi revogada pela empresa Comodo, responsável pela certificação.
Ayub também reporta ter obtido dados de clientes e se propôs a implementar um sistema para que os clientes pudessem checar se seus dados estavam no banco de dados vazados. No entanto, após pedir pronunciamento do banco, ele publicou no Twitter uma mensagem na qual dizia ter sido censurado, seguida de um trecho de "Os Lusíadas", de Luís de Camões. Ele não informa quem o teria censurado.
-
-(Twitter/Thiago Ayub/Reprodução)
-(Twitter/Thiago Ayub/Reprodução)
Sua meta era usar o banco de dados para criar um sistema criptografado para que os clientes pudessem checar, de forma segura, se tiveram suas informações pessoais vazadas, mas o projeto não viu a luz do dia.
Em termos simples, o processo de criptografia embaralha as informações para torná-las ilegíveis. A decodificação acontece quanto há a troca de chaves pública e privada, entre cliente e empresa. É como se a informação "123456" estivesse gravada como "######", e ela só poderia ser lida com a troca de chaves.
Ayub também apontou que correntistas lhe informaram de que o Banco Inter não utilizava autenticação em dois fatores para autorizar transações. No caso de senhas vazadas, isso poderia gerar problemas aos clientes.
O site de tecnologia TecMundo foi o primeiro a reportar o caso do vazamento de dados, que teria sido obtido por um hacker identificado como "John". O vazamento reportado era de dados de 81 mil clientes. O Banco Inter negou comprometimento de sua estrutura de segurança.
De acordo com Marcel Mathias, diretor de tecnologia da empresa de segurança Blockbit, a revogação do certificado atribuído ao Banco Inter ocorreu devido ao comprometimento da chave de criptografia. "Isso pode servir como artefato para a investigação do vazamento de dados", declarou Mathias. O especialista afirma ainda que a chave de criptografia poderia ter sido usada para criar uma réplica fiel do site para que hackers mal intencionados aplicassem golpes na internet.
O Ministério Público apura o caso.
Procurado, o Banco Inter disse ter sido vítima de ação criminosa e não comentou especificamente sobre o vazamento da chave de criptografia privada que foi revogada.
Fazem parte do Conselho de Administração do Banco Inter o fundador da MRV Engenharia e o fundador do Banco Inter, que também é membro do Conselho de Administração da MRV Engenharia.