Banco PAN: vazamento de dados de clientes e indenização

Na última sexta-feira, 15/4, o Banco PAN confirmou ter detectado uma “fragilidade” na sua plataforma de atendimento ao consumidor, o que possibilitou o vazamento de dados de clientes, como limites disponíveis e saldos devedores.

De acordo com a instituição financeira, não foram vazados dados completos de cartões nem senhas de clientes. Nesse sentido, o Banco PAN garante que não há risco financeiro direto para os mesmos.

Assim sendo, as contas-correntes não foram comprometidas e o sistema seguiu disponível.

Quantas pessoas foram afetadas pelo vazamento de dados do Banco PAN?

Após o vazamento de dados de clientes do Banco PAN, o portal TecMundo recebeu uma denúncia anônima e um documento de amostra, contendo as informações coletadas pelos invasores.

Entre as informações vazadas, estão:

• nome completo;
• CPF;
• data de nascimento;
• endereço residencial;
• informações sobre cartões de crédito;
• número da conta mascaradas;
• saldo devedor;
• valor da fatura.

De acordo com a denúncia, 22 milhões de contas foram comprometidas, porém a informação foi desmentida pelo PAN, que garante ter cerca de 17 milhões de clientes ativos.

Além disso, o documento de amostra enviado ao TecMundo expõe os dados de, aproximadamente, 64 mil pessoas.

No entanto, ainda segundo o TecMundo, uma segunda fonte anônima comentou sobre uma tentativa de extorsão para que a divulgação não ocorresse.

O que diz o Banco PAN sobre o ocorrido?

O Banco PAN já fez uma declaração sobre o ocorrido, admitindo o problema: “detectamos recentemente uma fragilidade na plataforma de um fornecedor de tecnologia, utilizada na Central de Atendimento a clientes do segmento de cartões”.

Segundo a instituição, o problema foi resolvido imediatamente: “ativamos nossos protocolos de segurança, notificamos a empresa de software para imediata correção da vulnerabilidade e contratamos consultoria especializada independente para uma análise completa.”

O PAN garante que a apuração (que ainda está em curso) já possibilitou a constatação de que as contas não foram comprometidas, que não houve indisponibilidade do sistema e que a infraestrutura do banco está segura.

Além disso, o banco esclareceu que não há risco financeiro oriundo do vazamento de dados de clientes e que as autoridades policiais já investigam o acesso não-autorizado.

“Reforçamos que a segurança das informações é nossa prioridade e todas as autoridades competentes foram notificadas”, afirma o banco.

Como o ataque aconteceu?

Não foram divulgados detalhes sobre a invasão, porém o atacante descreveu como fez para conseguir o acesso não-autorizado através do portal TecMundo.

“O banco utiliza credenciais impotentes e simples para controlar todas as contas de e-mail responsáveis por processar as informações dos clientes, como registrar novas contas, responder tickets etc”, explicou.

“Com uma senha válida obtida, foi feita uma listagem de todos os emails públicos de funcionários, e com um ataque de password spray foi possível comprometer muitas contas que tinham acessos ascendidos a dados dos clientes”.

Para isso, o invasor fez um processo de identificação da API (Interface de Programação de Aplicações) que indicou a fonte dos dados extraídos para o sistema de email e, após identificar a origem, ele desenvolveu um script para extrair essas informações.

“O script era simples, apenas utilizava um cookie válido para enviar requests autenticadas para a API e salvava o resultado em um arquivo de texto. Ao total, foram extraídas informações de mais de 22M de clientes do banco PAN, que como citado acima, contém muitas informações que podem ser utilizadas por grupos criminosos”.

Por fim, o atacante alegou que enviou um relatório ao CSIRT (Grupo de Resposta a Incidentes de Segurança) do Banco PAN explicando a invasão em detalhes.

Também pode te interessar:

Vazamento de dados do CPF: o que fazer?
Saiba como proteger seu CPF
Caso Bitfinex: casal é preso por roubar R$ 19 bilhões em bitcoins

O vazamento de dados de clientes do Banco PAN gera indenização?

O vazamento dos dados de clientes do viola o compromisso que determinada instituição tem com a segurança do cliente, pois invasores acessaram informações que devem ser protegidas pela empresa.

Essa situação configura falha na prestação de serviços e expõe o consumidor a possíveis transtornos como, por exemplo: phishing, spear phishing, roubo de identidade e abertura de contas falsas.

De acordo com o art. 14 do Código de Defesa do Consumidor, esses transtornos devem ser reparados pelo banco:

“O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos.”

Além disso, a Súmula 479 do STJ garante que “as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias”.

O que diz a LGPD sobre o Vazamento de Dados de Cliente de Banco?

A LGPD, mais especificamente em seu artigo 42 estabelece que:

“o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.

Apesar desta previsão legal, na prática tem havido decisões judiciais tanto a favor da indenização pelos danos morais neste tipo de caso independentemente da prova do dano, como também em sentido oposto, imputando a vítima o dever de demonstrar que este vazamento lhe causou danos na esfera moral.

Nesse sentido, a vítima que vier sofrer danos morais ou materiais diante do vazamento de dados bancários deverá ter a ciência que ao processar o banco poderá ter que comprovar os danos Morais incorridos sendo assim necessário acolher todos os tipos de provas em direito admitidas.

O que as vítimas devem fazer para exigir seus direitos?

As vítimas do vazamento de dados são protegidas pela Lei Geral de Proteção de Dados Pessoais (LGPD), que prevê a responsabilização do controlador dos dados diante de danos patrimoniais e morais causados, sejam individuais ou coletivos.

Por isso, caso se sinta lesado pelo vazamento de dados, o cliente do banco deve:

• entrar em contato com a instituição financeira e se informar sobre o ocorrido;
• fazer um Boletim de Ocorrência;
• pedir uma reparação pelo dano sofrido.

Caso as vítimas sofram consequências futuramente, é importante guardar provas do ocorrido. Dessa forma, é possível recuperar valores perdidos e ser compensado pelo transtorno.

Nesse caso, é possível ajuizar ação com pedido de indenização por danos materiais e danos morais. Para isso, é recomendável contar com a orientação de um advogado especialista em Direitos do Consumidor.

Como se proteger em casos de vazamento de dados?

Como observado acima, a exemplo do vazamento de dados do Banco PAN, os clientes estão expostos a diferentes golpes. Por isso, existem alguns cuidados que as vítimas devem ter.

A primeira precaução é habilitar o segundo fator de autenticação em aplicativos, serviços e emails. Se for possível, é recomendável optar por fatores de autenticação como o Authy, Google e Microsoft Authenticator ao invés da autenticação via SMS.

Também é necessário estar atento a links e mensagens, especialmente boletos de pagamento. Sempre que possível, o consumidor deve verificar a procedência do que foi recebido, entrando em contato com o banco através de um canal oficial.

Como o consumidor descobre que foi vítima de fraude?

O Banco Central do Brasil opera um site chamado Registrato, que monitora todas as operações financeiras vinculadas a um CPF.

Fazendo um cadastro no site, o consumidor pode acessar as seguintes informações vinculadas ao seu CPF:

• contas correntes;
• empréstimos;
• financiamentos;
• chaves PIX cadastradas em instituições de pagamentos;
• dados sobre operações de câmbio ou transferências internacionais.

O Escritório Rosenbaum Advogados tem vasta experiência no setor de Direitos do Consumidor. O contato pode ser feito através do formulário no site, WhatsApp ou pelo telefone (11) 3181-5581. O envio de documentos é totalmente digital.

Imagem em destaque: Freepik (standret)