Les failles de sécurité des sites web de Bradesco et de Banco do France ont mis à nu des données sur des millions de clients. Ces violations ont permis l’accès à certaines informations personnelles, telles que le CPF, le nom complet, le numéro de téléphone et l’adresse. Les problèmes se sont également produits dans le service de paiement Moip et dans Boa Vista Serviços, responsable de la gestion du Service central de protection du crédit (SCPC).
Les lacunes ont été découvertes par l’analyste de systèmes Carlos Eduardo Santiago et certaines d’entre elles existaient depuis au moins un an. Il a signalé les problèmes par le biais du service clientèle de la société, mais a été ignoré, alors il a décidé de donner les détails à Folha.
Chez Bradesco, les bordereaux de banque sont visibles par tous et peuvent être trouvés grâce à des recherches sur Google. Les documents contiennent des données telles que le CPF, le nom complet, l’adresse et le numéro de compte. Cette faille n’est pas très différente de celle que l’on a récemment trouvée sur les sites web de Telexfree et de BBOM. En modifiant les paramètres de l’URL, vous pouvez accéder aux bolets d’autres clients.
Seul Bradesco affirme qu’il ne s’agit pas d’une faille de sécurité, mais d’une caractéristique du système : les URL permettent aux clients des magasins en ligne associés à la banque d’accéder à leurs factures pour effectuer le paiement. Bradesco affirme que l’URL est “susceptible d’apparaître sur Google comme n’importe quelle autre page” et déclare n’avoir jamais eu de problèmes de fraude, même en utilisant le système depuis plus de 10 ans.
Les bordereaux bancaires de Moip sont également accessibles, mais le service a déclaré que les URL trouvées lors des recherches étaient mises à disposition par les vendeurs sur leurs sites web, ce qui permettait une indexation par Google. Les bolets générés par Moip seraient automatiquement retirés des recherches ; de toute façon, le service a contacté Google pour éviter que les bolets ne soient indexés à l’avenir.
Le problème à la Banque de France était un peu plus limité. Elle ne pouvait être explorée que par ceux qui avaient accès à la section assurance habitation de la branche virtuelle et permettait de consulter des données telles que le numéro de la branche et du compte, le CPF et le nom. L’écart est resté dans l’air pendant au moins deux semaines, mais il a été corrigé dès que la banque a reçu les informations de Folha. Selon la banque, il n’y avait aucun risque pour les clients.
Boa Vista Serviços, qui gère le registre des débiteurs de la SCPC, dispose d’un système qui permet à 2,5 millions de personnes de consulter les dettes liées à leur CPF. Le problème est qu’une personne pourrait consulter les dettes d’un autre FCP, ce qui n’est pas autorisé par les conditions d’utilisation du service lui-même. Le défaut, qui selon l’entreprise nécessitait des connaissances techniques, a été corrigé.