Contas do Internet Banking do HSBC-US são violadas por hackers

Contas do Internet Banking do HSBC-US são violadas por hackers. O HSBC disse que algumas das contas bancárias de seus clientes nos EUA foram invadidas em outubro.

“O HSBC lamenta esse incidente e assumimos nossa responsabilidade de proteger nossos clientes com muita seriedade“, afirmou o banco em comunicado.

“Notificamos os clientes cujas contas podem ter tido acessos não autorizados e oferecemos a eles um ano de monitoramento de crédito e identificação do serviço de proteção contra roubo.“

O HSBC diz que a violação parece ter ocorrido de 4 a 14 de outubro. Após detectar a violação, o banco disse em um anúncio de notificação que “suspendeu o acesso on-line para impedir novas entradas não autorizadas” nas contas afetadas.

“As informações que podem ter sido acessadas incluem seu nome completo, endereço para correspondência, número de telefone, endereço de e-mail, data de nascimento, números de contas, tipos de conta, saldos de contas, histórico de transações, informações da conta beneficiária e histórico de demonstrativos, quando disponíveis“, diz HSBC. na sua notificação de violação de dados.

Não está claro se os invasores tentaram usar os dados para transferir valores.

Um especialista disse que parecia que a técnica envolvida era um “
credential stuffing“, no qual dados pessoais colhidos em outros lugares haviam sido usados ​​para obter acesso não autorizado às contas.

“A informação divulgada até agora pelo HSBC é bastante limitada“, disse o professor Alan Woodward, da Universidade de Surrey.

“É evidente que ainda está investigando o que aconteceu enquanto tomava as medidas necessárias para proteger os clientes e aconselhar os reguladores. Há muito mais informações que ainda temos para ver, que espero que o HSBC torne público quando o tiver.“

A BBC diz que o banco acredita que menos de 1% de seus clientes americanos foram afetados e que  já haviam contatado aqueles que pensaram ter sido expostos.

A violação de dados afeta apenas as operações norte-americanas do HSBC, sediado em Londres, que é o sétimo maior banco do mundo e o maior da Europa.

Embora o hack não estivesse limitado a esse estado da Califórnia, o HSBC protocolou no escritório do procurador-geral da Califórnia uma cópia do aviso de violação de dados, datado de 2 de novembro, que está sendo enviado aos residentes do estado, como é exigido legalmente. O arquivamento do aviso de violação de dados do HSBC foi relatado pela primeira vez pelo databreaches.net na segunda-feira. O modelo do alerta enviado aos clientes foi publicado on-line pela Procuradoria Geral da Califórnia.

14.000 clientes podem ser afetados

Uma porta-voz do HSBC disse ao Information Security Media Group que menos de 1% dos clientes dos EUA do HSBC foram afetados pela violação de dados.

O banco recusou-se a quantificar quantos clientes dos EUA possui. Mas o The Telegraph informa que o HSBC administra cerca de 1,4 milhões de contas nos EUA, o que significa que 14.000 clientes podem ter sido afetados.

“Respondemos a esse incidente fortificando nossos processos de login e autenticação e implementamos camadas adicionais de segurança para acesso digital e móvel a todas as contas bancárias pessoais e de negócios”, observa o comunicado. “Nós notificamos os clientes cujas contas podem ter acesso não autorizado e estamos oferecendo a eles um ano de monitoramento de crédito e identificar o serviço de proteção contra roubo.”

A notificação de violação de dados do HSBC às vítimas também observa: “Você pode ter recebido uma ligação ou um e-mail nosso para que possamos ajudá-lo a alterar suas credenciais bancárias on-line e acessar sua conta.”

Segundo o Information Security Media Group O banco se recusou a comentar se a investigação de violação de dados continua e quais recursos adicionais ela pode ter trazido.

“É evidente que ainda está investigando o que aconteceu enquanto tomam as medidas necessárias para proteger os clientes e aconselhar os reguladores“, disse Alan Woodward, professor de segurança de computadores da Universidade de Surrey, à BBC.

Suspeito: ataque de preenchimento de credenciais

Embora o HSBC tenha divulgado detalhes escassos, Woodward diz que essa violação tem todas as características de um ataque de “preenchimento de credenciais” (credential stuffin) . Esses ataques envolvem que criminosos usem nomes de usuário, senhas ou outros dados pessoais que foram roubados ou vazados e que os utilizem para acessar a conta de um usuário com outros sites ou serviços. Milhões dessas credenciais vazadas veem à tona todo os dias na Web.

A empresa de anti-fraude Shape Security diz à ISMG que rastreia 232 milhões de tentativas de aquisição de contas de preenchimento de credenciais lançadas contra empresas de serviços financeiros diariamente, observando que cerca de 1 a cada 2.000 delas são bem-sucedidas.

A Shape Security estima que, em 2017, o setor bancário de consumo dos EUA perdeu quase US $ 50 milhões por dia para ataques de preenchimento de credenciais. Ele observa que hotéis, companhias aéreas e organizações do setor de varejo também estão em risco de tais ataques.

É importante observar que o mercado americano, diferente do brasileiro, é muito mais sujeito a este tipo de comprometimento, por usar formação de nome (userid) comuns a outros serviços de internet. No Brasil,o mais comum é o cliente se identificar pelo número da agência e conta, e não por um userid. No sentido de autenticação e proteção de acesso às contas pelo Internet Banking o Brasil é muito mais avançado que o mercado americano e europeu. A ver que aquijá se usa token a muito tempo e lá ainda temos muitos acessos baseados em usuário e senhas estáticas, as quais permitem este tipo de ataque.

Defesas de Reutilização de Credenciais

A melhor defesa contra ataques de preenchimento de credenciais é o uso de tokens como segundo fator de autenticação, e onde não for possível que os usuários nunca reutilizem uma senha em mais de um site. Infelizmente, muitos usuários reutilizam suas credenciais.

“Este é o problema subjacente: as pessoas dizem: ‘Ei, eu tenho uma senha favorita, é o nome do meu gato e este é o ano em que nasceu; isso é fantástico e eu vou usá-lo em todos os lugares‘” disse o especialista em segurança Troy Hunt, que dirige o site gratuito de notificação de violação Have I Been Pwned, à ISMG no início deste ano.

Mas se a combinação de credenciais funcionar em outro site, a conta e os dados do usuário podem ser colocados em risco, e o site B, que não é o culpado, pode ser responsabilizado pelo acesso não autorizado.

“Este site B não necessariamente fez nada de errado, mas agora eles têm que lidar com o risco de … um invasor fazer login com as credenciais da vítima“, disse Hunt. “Esse é um problema muito difícil“.

Para ajudar, a Hunt introduziu este ano um serviço gratuito Pwned Passwords, que os sites podem usar para revisar as credenciais de um usuário e ver se elas já foram usadas em violações anteriores que vieram à luz.

É claro a visão acima pulicada pelo ISMG expressa o comportamento do mercado americano e europeu, como já mencionei acima, o Brasil está alguns passos, ou anos a frente disto, e site de banco com 2FA não necessitam consultar o Pwned Password, não é verdade?

De qualquer forma, faço questão de trazer aos leitores do Blog Minuto da Segurança a visão destes sites internacionais, para que possam identificar a posição das instituições brasileiras em relação às americanas e europeias. Pela experiência deste que vos escreve, posso dizer que não somos perfeitos, nem tudo são flores aqui,  mas estamos uns 10 anos à frente deles no quesito proteção do Internet Banking. Como se diz, a necessidade cria o hábito, ou neste caso, desenvolve a proteção.  

HSBC: violações anteriores, interrupções

Segundo o ISMG O HSBC sofreu outras violações de dados e ataques online e disponibilizou uma linha do tempo, que reproduzimos abaixo:

• Julho de 2009: A FSA –  Financial Services Authority multou três empresas do HSBC em um total de £ 3 milhões após uma série de problemas, incluindo a perda de um disco não criptografado contendo detalhes pessoais dos clientes, que além de perdido deixou essas informações espalhadas pelos escritórios.
• Janeiro de 2010: O HSBC disse que um ex-funcionário havia roubado informações referentes a até 24.000 contas de clientes na Suíça, que ele entregou às autoridades fiscais francesas.
• Outubro de 2012: O acesso a contas de clientes foi interrompido por ataques distribuídos de negação de serviço lançados pelo Izz ad-Din al-Qassam Cyber ​​Fighters. Um grupo que oficiais da inteligência dos EUA disseram ser um disfarce para uma campanha do governo iraniano.
• Março de 2015: O HSBC Finance nos EUA descobriu uma violação de dados envolvendo dados de hipoteca que pareciam ter começado em 2014.
• Janeiro de 2016: o HSBC repeliu ataques DDoS, mas seus esforços de mitigação deixaram alguns clientes incapazes de acessar suas contas.
• Junho de 2016: o HSBC enfrentou repetidos ataques DDoS, com suas atenuações levando a interrupções no acesso a contas para alguns clientes.

Fonte: ISMG  & BBC News & Telegraph

Veja também:

• CrowdStrike solução AV sem Assinatura!
• Falha permite escalada de privilégio afeta a maioria das distribuições Linux
• Hackers exploram vulnerabilidade de zero day da Cisco ASA e FTD
• Como nível C contribui para uma postura de segurança mais forte
• LGPD-SP – A proteção estadual de dados pessoais e o PL 598/2018
• IBM adquire distribuidor Linux Red Hat por US $ 33,4 bilhões
• 10 maneiras de manter-se seguro online
• Empresas “cyber ready” apresentam melhores resultados
• Milhares de aplicativos vulneráveis ao RCE por meio do upload de arquivo jQuery
• Nova LGPD: os direitos dos titulares de dados pessoais
• Phishing – Você sabe o que é e como se proteger ?
• JP Morgan lança programa de recompensa de descoberta de vulnerabilidades