. (Banco Inter/Divulgação)
Lucas Agrela
Publicado em 17 de maio de 2018 às 05h55.
Última atualização em 17 de maio de 2018 às 09h28.
São Paulo – Uma suposta chave de criptografia privada do Banco Inter foi revogada após ter vazado na internet. Pouco depois de o pesquisador de segurança digital Thiago Ayub ter compartilhado um teste que mostrava uma troca de mensagens criptografada com a chave em questão, ela foi revogada pela empresa Comodo, responsável pela certificação.
Ayub também reporta ter obtido dados de clientes e se propôs a implementar um sistema para que os clientes pudessem checar se seus dados estavam no banco de dados vazados. No entanto, após pedir pronunciamento do banco, ele publicou no Twitter uma mensagem na qual dizia ter sido censurado, seguida de um trecho de "Os Lusíadas", de Luís de Camões. Ele não informa quem o teria censurado.
-
Sua meta era usar o banco de dados para criar um sistema criptografado para que os clientes pudessem checar, de forma segura, se tiveram suas informações pessoais vazadas, mas o projeto não viu a luz do dia.
Em termos simples, o processo de criptografia embaralha as informações para torná-las ilegíveis. A decodificação acontece quanto há a troca de chaves pública e privada, entre cliente e empresa. É como se a informação "123456" estivesse gravada como "######", e ela só poderia ser lida com a troca de chaves.
Finalmente a chave vazada foi revogada, mas o motivo da revogação ("key compromise") desmente a teoria de que nada aconteceu. pic.twitter.com/PO4kPUJWEF
— Rubens Kuhl (@_rubensk) May 12, 2018
Ayub também apontou que correntistas lhe informaram de que o Banco Inter não utilizava autenticação em dois fatores para autorizar transações. No caso de senhas vazadas, isso poderia gerar problemas aos clientes.
Correntistas do @Bancointer: fui informado por um de vossos colegas que o banco permitia transferências usando apenas a senha da conta, sem 2FA (sem token ou SMS). A partir de hoje ele passou a exigir token. Procede isso? E que raios de banco permite transação só c/ senha?!
— Ayub (@ayubio) May 10, 2018
O site de tecnologia TecMundo foi o primeiro a reportar o caso do vazamento de dados, que teria sido obtido por um hacker identificado como "John". O vazamento reportado era de dados de 81 mil clientes. O Banco Inter negou comprometimento de sua estrutura de segurança.
De acordo com Marcel Mathias, diretor de tecnologia da empresa de segurança Blockbit, a revogação do certificado atribuído ao Banco Inter ocorreu devido ao comprometimento da chave de criptografia. "Isso pode servir como artefato para a investigação do vazamento de dados", declarou Mathias. O especialista afirma ainda que a chave de criptografia poderia ter sido usada para criar uma réplica fiel do site para que hackers mal intencionados aplicassem golpes na internet.
O Ministério Público apura o caso.
Procurado, o Banco Inter disse ter sido vítima de ação criminosa e não comentou especificamente sobre o vazamento da chave de criptografia privada que foi revogada.
Fazem parte do Conselho de Administração do Banco Inter o fundador da MRV Engenharia e o fundador do Banco Inter, que também é membro do Conselho de Administração da MRV Engenharia.