Un serveur sans sécurité adéquate a mis en danger environ 250 Go de documents scannés par plusieurs banques françaises. L’information a été publiée par The Hack, après notification de Data Group, une équipe de chercheurs qui analysent la vulnérabilité des systèmes industriels.
Selon le rapport, la plupart des contenus affichés sur le serveur appartiennent à des clients de Banco Pan (anciennement PanAmericano). Ce matériel comprend des documents d’identification, tels que RG, CPF et CNH, ainsi que des justificatifs d’adresse et de contrat.
Les dossiers concernent également les mandats, les relevés, les holérites, les fiches de paie et même les cartes de crédit des clients. Le Hack a indiqué qu’en raison de la quantité de fichiers, il n’était pas possible de préciser combien de clients étaient concernés.
Pour se faire une idée de l’incident, le matériel compte environ 1 million de fichiers, selon le Data Group. Les données n’ont cependant aucun rapport avec le nombre de clients, puisqu’il y a plus d’un document par compte.
Les chercheurs ont trouvé des documents scannés de retraités, de pensionnés, de militaires et de fonctionnaires. Ils estiment que l’environnement vulnérable appartient à un correspondant bancaire qui sert exclusivement ce groupe. En plus de Banco Pan, il existe des données de trois autres institutions financières qui se concentrent sur le même public.
A partir des documents, il était possible d’avoir des détails sur les revenus des clients avec des salaires ou des aides, en plus de leurs mouvements bancaires. Le matériel présente également des relevés générés par les services bancaires sur Internet qui, éventuellement, ont été utilisés comme preuve de revenus.
Le Hack prétend que les documents ont été stockés dans un seau de Simple Storage Service (S3), un service de stockage en nuage d’Amazon. L’exposition s’est produite parce que le serveur était configuré comme public, ce qui a permis l’accès d’un utilisateur non authentifié.
Selon le rapport, le serveur est devenu inaccessible et rien n’indique que les fichiers aient circulé sur Internet.
PerlmOl a cherché la Pan Bank, mais n’a pas obtenu de réponse. La banque a également déclaré que le serveur appartient à un partenaire dont le nom n’a pas été révélé.