Em um dos maiores incidentes de segurança cibernética já registrados no setor financeiro brasileiro, o Banco Neon teria sido alvo de um ataque hacker que resultou no sequestro de dados de aproximadamente 30 milhões de clientes.
Identificado inicialmente como banconeon, o hacker anunciou o ataque em uma postagem publicada em um fórum de internet sob o título: “Quanto vale 30 milhões de dados de um banco brasileiro?” na terça-feira, 11 de fevereiro. O hacker utilizou fotos e vídeos, depois apagados, para comprovar o ataque.
Segundo o hakcer, o ataque resultou no acesso a dados de 30.825.019 clientes do Banco Neon, incluindo nome completo, sexo, email, CEP, CPF, CPNJ, telefone, celular, profissão, nome da mãe, renda, saldo, situação fiscal, perfil e número da conta, fotos para acesso biométrico, histórico de movimentações financeiras e imagens de documentos utilizados para abertura de conta, como identidade e comprovante de residência. Até mesmo informações sobre o dispositivo utilizado para acesso ao aplicativo do banco teriam sido obtidas.
Em um comunicado oficial, o Banco Neon reconheceu a ocorrência de um incidente de segurança, caracterizando-o como uma "cópia não autorizada de dados" pertencentes a uma parcela de sua base de clientes.
A instituição financeira enfatizou que as informações acessadas não possibilitam o acesso direto a contas bancárias nem a execução de transações financeiras não autorizadas.
O Neon contestou a alegação de que 30 milhões de clientes teriam sido afetados pelo vazamento de dados, declarando que os detalhes apresentados na postagem original do suposto hacker "não são factíveis" com as informações apuradas em suas investigações internas.
O comunicado informou ainda que o “Neon adotou as medidas necessárias para cessar quaisquer acessos indevidos e realizar a avaliação do cenário, a fim de possibilitar eventual comunicação das autoridades responsáveis e clientes que possam ter sido afetados.”
Hacker se manifesta
Em uma entrevista concedida posteriormente ao TecMundo, o hacker identificou-se como Pegasus e disse atuar como pesquisador de segurança cibernética. Segundo ele, a motivação para efetivar o ataque foi a falta de reconhecimento e pagamento de recompensas pela identificação de vulnerabilidades em instituições financeiras brasileiras:
“Já achei muitas brechas, mas quando as reporto, elas [instituições financeiras] nem respondem, simplesmente corrigem a falha e ignoram a recompensa. Aliás, a recompensa aqui é ridícula. Falhas severas de domínio que exploro há anos, eles [instituições bancárias] querem pagar mil dólares e ainda preferem me chamar de cibercriminoso. Fora os processos por ‘extorsão’ quando tento reportar uma falha.”
O hacker disse que a vulnerabilidade que possibilitou o sequestro dos dados se deve a uma “falha de domínio que existe em quase todos os sites .br.”
Pegasus descartou a possibilidade de vender os dados no mercado negro, mas revelou ter negociado com a diretoria do Banco Neon uma recompensa no valor de 5 BTC (equivalentes a R$ 2,8 milhões a preços atuais de mercado). No entanto, a instituição não efetuara o pagamento até o momento da entrevista.
Os termos da transação foram estabelecidos em um contrato inteligente implementado na rede da Ethereum (ETH), segundo o hacker.
Embora os clientes do Banco Neon não tenham sido imediatamente afetados pelo hack, vazamentos de dados podem ter implicações duradouras e imprevistas para os usuários afetados.
Conforme noticiado pelo Cointelegraph Brasil, mesmo quando hackers não obtêm acesso às senhas e documentos das vítimas, endereços de e-mail e números de telefone podem ser usados em golpes de engenharia social.