Brechas em sites do Bradesco e do Banco do Brasil expõem milhões

Os problemas foram descobertos pelo analista de sistemas Carlos Eduardo Santiago, 21, que os demonstrou à Folha após ter sido ignorado pelas empresas. "Ao Moip, à Boa Vista e ao Bradesco, relatei as questões há cerca de um ano."

"Descobri o erro do Banco do Brasil no dia 8, mesma data de quando avisei a empresa por meio do SAC, mas fui ignorado. Decidi, então, verificar as outras falhas, e elas ainda existiam", conta.

A seção de seguros residenciais da agência virtual do Banco do Brasil permitia, até a quinta-feira passada, que qualquer pessoa com acesso à área (cliente segurado pelo banco ou em posse desses dados) visualizasse CPF, nome, endereço, telefone, e-mail, agência e número da conta de outro segurado, por meio de uma simples alteração no código, que pode ser visualizado com qualquer navegador moderno -não demanda ferramenta ou conhecimento avançados.

Segundo Santiago, o número de clientes do Banco do Brasil que foram expostos pelo erro é de 1,85 milhão, estimativa com base na sequência do código dos documentos disponíveis durante pelo menos duas semanas.

Contatada pela Folha na quinta, a companhia solucionou a falha no mesmo dia.

Por meio de sua assessoria de imprensa, o Banco do Brasil disse que "o problema não teve associação com qualquer tipo de transação financeira" e que, por isso, "não trouxe risco para os clientes."

Um grande número de boletos bancários gerados pelo Bradesco está visível e expõe informações de clientes do banco, como CPF, nome, endereço, agência e número da conta, além do valor e do estabelecimento do pagamento em questão.

Consultada, a companhia disse que esse sistema "é utilizado há mais de dez anos e o banco nunca registrou fraude ou problema de clientes."

A brecha permite que os documentos sejam encontrados até por meio de uma pesquisa no Google e consiste em uma URL aberta (um link de internet desprotegido). Falha semelhante foi verificada no site do Moip, que presta serviços de pagamento on-line para diversas empresas, e permitia ver o mesmo tipo de dado.

O link desprotegido, que é hospedado pelo Moip, continua disponível, mas a empresa diz não ter responsabilidade sobre ele. "As URLs dos boletos em questão foram disponibilizadas pelos próprios vendedores em seus sites."

Em sua página, a companhia diz processar 300 mil transações virtuais por mês.

DÉBITO À VISTA

A seção de consulta a débitos do site da Boa Vista serviços, responsável pelo SCPC, permitia até a quinta passada, quando o erro foi corrigido, que fossem visualizadas as dívidas relacionadas a um CPF. Segundo a empresa, cerca de 2,5 milhões de pessoas estão catalogadas no sistema.