Diferentes brechas de segurança
encontradas nos sites do Banco do Brasil, do Bradesco, do serviço de pagamentos
Moip e da Boa Vista Serviços (administradora do cadastro de devedores SCPC)
expuseram recentemente dados privados de milhões de pessoas.

Os problemas foram descobertos
pelo analista de sistemas Carlos Eduardo Santiago, 21, que os demonstrou à Folha após ter sido ignorado pelas empresas.
"Ao Moip, à Boa Vista e ao Bradesco, relatei as questões há cerca de um
ano."

"Descobri o erro do Banco do Brasil
no dia 8, mesma data de quando avisei a empresa por meio do SAC, mas fui
ignorado. Decidi, então, verificar as outras falhas, e elas ainda
existiam", conta.

A seção de seguros residenciais da
agência virtual do Banco do Brasil permitia, até a quinta-feira passada, que
qualquer pessoa com acesso à área (cliente segurado pelo banco ou em posse
desses dados) visualizasse CPF, nome, endereço, telefone, e-mail, agência e
número da conta de outro segurado, por meio de uma simples alteração no código,
que pode ser visualizado com qualquer navegador moderno --não demanda
ferramenta ou conhecimento avançado.

Segundo Santiago, o número de
clientes do Banco do Brasil que foram expostos pelo erro é de 1,85 milhão,
estimativa com base na sequência do código dos documentos disponíveis durante
pelo menos duas semanas.

Contatada pela Folha na quinta, a companhia solucionou a
falha no mesmo dia.

Por meio de sua assessoria de
imprensa, o Banco do Brasil disse que "o problema não teve associação com
qualquer tipo de transação financeira" e que, por isso, "não trouxe
risco para os clientes."

Um grande número de boletos
bancários gerados pelo Bradesco está visível e expõe informações de clientes do
banco, como CPF, nome, endereço, agência e número da conta, além do valor e do
estabelecimento do pagamento em questão.

Consultada, a companhia disse que
esse sistema "é utilizado há mais de dez anos e o banco nunca registrou
fraude ou problema de clientes."

A brecha permite que os documentos
sejam encontrados até por meio de uma pesquisa no Google e consiste em uma URL
aberta (um link de internet desprotegido). Falha semelhante foi verificada no
site do Moip, que presta serviços de pagamento on-line para diversas empresas,
e permitia ver o mesmo tipo de dado.

O link desprotegido, que é
hospedado pelo Moip, continua disponível, mas a empresa diz não ter
responsabilidade sobre ele. "As URLs dos boletos em questão foram
disponibilizadas pelos próprios vendedores em seus sites."

Em sua página, a companhia diz
processar 300 mil transações virtuais por mês.

DÉBITO À VISTA

A seção de consulta a débitos do
site da Boa Vista serviços, responsável pelo SCPC, permitia até a quinta
passada (quando o erro foi corrigido, após o contato) que fossem visualizadas
as dívidas relacionadas a um CPF. Segundo a empresa, cerca de 2,5 milhões de
pessoas estão catalogadas no sistema.