Falha no Banco Português de Gestão estaria a revelar dados sensíveis de clientes

Publicado em por

Falha no Banco Português de Gestão estaria a revelar dados sensíveis de clientes

Um grupo de investigadores revelou ter descoberto uma falha que afeta o Banco Português de Gestão, e que estaria a permitir que dados sensíveis de clientes da entidade bancária fossem acedidos por terceiros.

Os investigadores da Cybernews referem ter identificado, no passado dia 2 de Maio, uma configuração incorretamente aplicada em sistemas associados com o BPG, associados com os sistemas da Nearsoft – um fornecedor de plataformas digitais de banking.

A falha na configuração do sistema estaria a permitir que dados sensíveis de clientes do BPG fossem facilmente acedidos. Esta falha também indicava que o fornecedor do serviço não estaria em conformidade com normas como a ISO27001 e PCI-DSS, que são consideradas essenciais para este género de instituições.

dados acedidos pelo leak

De acordo com os investigadores, os dados que poderiam ser potencialmente comprometidos englobam:

  • Números de contas bancárias
  • Números IBAN
  • Saldos de contas
  • Documentos KYC (Conheça o Seu Cliente)
  • Números de cartões de identificação, incluindo números de identificação de cidadão
  • Endereços de email
  • Números de telefone
  • Números de contribuinte
  • Nomes
  • Locais de emprego
  • Profissão
  • Estado civil
  • Datas de nascimento
  • Endereços de residência
  • Respostas a perguntas de segurança
  • Segredos de autenticação
  • Tokens de sessão de banco online

Os investigadores afirmam que a falha na configuração estaria a permitir o acesso a dados sensíveis dos utilizadores do banco desde meados de Abril.

dados roubados do leak

Estes dados estariam ainda a ser atualizados em tempo real, o que poderia permitir aos atacantes terem acesso a informações atualizadas sobre os clientes, e potencialmente usar essa informação para ataques direcionados e outros esquemas.

dados roubados da falha

Os investigadores terão contactado a Nearsoft a expor a falha, que foi entretanto resolvida. No entanto, a entidade não terá deixado qualquer comentário público sobre a falha.

Embora a falha fosse associada com um fornecedor de serviços do Banco Português de Gestão, e este fornecedor disponibilizar as suas plataformas para outras entidades, apenas o BPG estaria afetado.