Sécurité

Inter Bank laisse les données de ses clients exposées pendant plus d’un an

Pendant plus d’un an, Banco Inter a laissé les informations personnelles des titulaires de comptes affichées sur son site web. PerlmOl a constaté qu’un échec de la mise en œuvre dans la zone de connexion de la banque sur internet pour les personnes morales permettait d’obtenir le nom complet, le CPF et le courrier électronique de n’importe quel client de l’institution, ouvrant ainsi un espace pour l’extraction massive de données et les escroqueries ciblées de phishing. La société nie.

Un chercheur en sécurité dit à PerlmOl que le problème existe depuis au moins septembre 2017. En possession d’un compte de personne morale (compte numérique PRO) et d’un accès à la banque par internet, il a été possible d’obtenir des informations de 1,45 million de titulaires de comptes de Banco Inter, qu’il s’agisse d’un particulier ou d’une société.

L’écart a été comblé plus tard dans l’année pour les particuliers, mais la correction n’a été appliquée dans le système pour les personnes morales que ce mardi (12). C’est une mine d’or pour le phishing. Je comprends qu’ils ont deux bases de code différentes, mais ne pas reproduire les correctifs de sécurité n’a aucun sens”, déclare le chercheur.

  Google pourrait devoir payer 100 000 euros pour une collecte de données inappropriée

Le problème se situait sur la page de transfert de ressources inter-clients de l’Inter Bank, qui remplissait automatiquement les données du titulaire du compte de destination. Vous avez déjà accès au numéro de compte, à la banque et à l’agence, ce qui facilite grandement les attaques de phishing avec les données extraites. Pour aggraver les choses, les numéros de compte sont séquentiels, le chiffre de vérification ayant une formule connue, ce qui permet une extraction facile”, dit-il.

Il est courant que les systèmes bancaires sur Internet affichent le nom du titulaire du compte de destination avant de confirmer la transaction, mais sans données de contact et sans permettre une extraction massive.

PerlmOl a demandé au service de presse d’Inter de vérifier si la banque était au courant du problème et s’il y avait une possibilité de correction. La société n’a pas répondu. Dans une note, il a simplement dit que “dispose de toutes les politiques de sécurité nécessaires et est conforme aux meilleures pratiques du marché. Après le contact, la panne a été corrigée.

Mise à jour le 15 février à 14h14

En réponse aux questions de ses clients, Banco Inter s’est exprimé sur Twitter :

“L’Inter Bank assure qu’il n’y a eu aucune fuite ou exposition des données des titulaires de comptes, comme l’a rapporté le canal PerlmOl le 13 février. Pour nous, la sécurité est une priorité. Nous appliquons des règles strictes pour préserver la confidentialité des informations et des opérations de nos clients. Nous travaillons avec différentes intelligences d’authentification et disposons d’enregistrements de toutes les transactions. De plus, nos processus internes sont constamment revus avec des études et la mise en place de nouvelles technologies pour renforcer la protection de votre compte”.

PerlmOl conserve toutes les informations qui ont été vérifiées lors de la production de cette nouvelle.

Inter Bank a déjà été confrontée à une fuite de données en 2018

En 2018, une enquête du ministère public du district fédéral et des territoires (MPDFT) a conclu que l’Inter Bank avait divulgué les données personnelles de 19 961 titulaires de comptes. À l’époque, des informations telles que le mot de passe, le code de sécurité (CVV), le courrier électronique, le téléphone et l’adresse, ainsi que le CPF, le RG, la CNH, la déclaration d’impôt sur le revenu et les photos des chèques à compenser, avaient été exposées sur Internet. La clé de cryptage privée de la banque a également fait l’objet d’une fuite et a été révoquée.

  LulzSec France publie des données présumées sur la Présidente Dilma Rousseff

Au début, la société a déclaré qu'”il n’y a pas eu d’invasion ni de compromission des systèmes de sécurité”. Dans une déclaration au marché, elle a déclaré que la nouvelle de la fuite était “fausse, avec un contenu technique douteux et imprécis, publiée dans le seul but de nuire à la réputation de la banque”. Il a également condamné la divulgation de “fausses nouvelles ou de faits réels tronqués ou déformés concernant une institution financière”.

Au fil du temps, Inter Bank a fini par avouer qu’elle avait subi un incident de sécurité après la migration des systèmes informatiques vers le cloud. Le procès a été clôturé en décembre après que la banque ait conclu un règlement extrajudiciaire de 1,5 million.

A propos de l'auteur

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire