Ministério Público ajuíza ação de R$10 Milhões contra o Banco Inter por vazamento de dados clientes e não clientes

Ministério Público ajuíza ação de R$10 Milhões contra o Banco Inter por vazamento de dados clientes e não clientes. A Comissão de Proteção dos Dados Pessoais do Ministério Público do DF e Territórios (MPDFT) ajuizou no dia 30 de julho, ação civil pública por danos morais coletivos contra o Banco Inter S/A. Na ação, o Ministério Público pede a condenação do banco ao pagamento de R$ 10 milhões, a título de indenização, em razão de não ter tomado os cuidados necessários para garantir a segurança dos dados pessoais de seus clientes e não clientes. O valor, no caso de condenação, será revertido ao Fundo de Defesa de Direitos Difusos (FDD).

Em maio, a comissão instaurou inquérito civil público para investigar o vazamento dos dados pessoais dos clientes da instituição. No curso da investigação, o MPDFT constatou o comprometimento dos dados cadastrais de 19.961 correntistas do Banco Inter. Dessas, 13.207 contêm dados bancários, como número da conta, senha, endereço, CPF e telefone. Outros 4.840 dados de clientes de outros bancos que fizeram transações com usuários do Inter também foram comprometidos. Também ficou confirmada a exposição dos certificados digitais, já revogados, e da chave privada do banco. As informações foram comprovadas pelo Centro de Produção, Análise, Difusão e Segurança da Informação (CI) do MPDFT.

Segundo o MPDFT a presente ação pública pretende “a condenação do banco Inter S/A ao pagamento de indenização por danos morais, em razão de não ter tomado os cuidados necessários para garantir a segurança dos dados pessoais de seu clientes e também de não clientes da instituição. Sendo que as tentativas de encobrir o incidente de segurança, promovidas pelo Banco Inter, geraram prejuízos morais e insegurança aos investidores, acionistas, ecossistemas de Fintechs e Startups brasileiros de dados, bem como na confiabilidade da migração de dados e de computação em nuvem das instituições financeiras“.

O Banco Inter é o primeiro banco 100% digital do Brasil, isto é, primeiro banco a utilizar tecnologias móveis, como aplicativos, que permitem aos seus usuários um controle rápido e “seguro” da sua conta. No entanto, conforme ressalta a ação pública, o Banco Central do Brasil – Bacen – editou em 26 de abril de 2018, a resolução n.4658 que “dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil“.

Embora a resolução n.4658 preveja datas objetivo para que os bancos se adaptem, a medida já está em vigor e todas as medidas de segurança possíveis devem ser adotadas e todos os incidentes de segurança devem ser tratados e reportados ao Bacen de forma “tempestiva”.

Em maio de 2018, portanto após a medida ter sido editada pelo Bacen, o site TecMundo noticiou que o Banco Inter S/A sofrerá uma extorsão nas semanas anteriores, por um hacker que exigia vantagens financeiras para evitar o vazamento de dados de milhares de clientes, funcionários e executivos do banco. O valor exigido não foi revelado. O hacker teria colocado cheques, documentos, transações, e-mails, informações pessoais, chaves de segurança e senhas de 300 mil pessoas em um arquivo criptografado de 40 GB.

Segundo o documento de ação pública, após está notícia, a “Comissão de Proteção de Dados Pessoais do Ministério Público Federal do Distrito Federal e territórios instaurou o Inquérito Civil Público n. 08190.097749/18-95 para apurar o corrido. Em 10 de maio de 2018, o Banco Inter S/A informou que não houve danos a seus clientes, bem como não foi identificada fraudes ou uso indevido relacionado ao incidente, negando-se a responder com maiores informações ao Ministério Público.“. O incidente, porém, foi confirmado em 14 de maio, pela notícia de que a chave privada de um certificado digital do banco, havia sido vazada e revogada pelo banco imediatamente.

O documento de ação pública, relata ainda que o Bacen entregou uma mídia de CD contendo todas as informações vazadas dos clientes e não clientes do Banco Inter, as quais incluía: CNPJ,/CPF, agência, número da conta e nome completo da pessoa física ou jurídica titular da conta, e adicionalmente informou que os dados pessoais como senha e cartão de crédito não poderiam neste momento serem entregues à comissão devido ao sigilo bancário.

É ressaltado ainda no documento que “como player de mercado, isto é, por se tratar de empresa que lidera o mercado ao qual está inserida, deveria oferecer o nível de segurança esperado a seus usuários, com gestão de risco e segurança da informação em níveis de excelência“.

Confira aqui a ação civil pública – editada para excluir informações sigilosas.

 

Fonte:  MPDFT

 

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Novo método descoberto para crackear senhas Wi-Fi WPA2
  2. BACEN 3.909 de Política Cibernética para Instituições de Pagamento
  3. Vaza dados e senhas de clientes da TIVIT
  4. Banco Inter aceita pagar R$1,5 Milhão por vazamento de dados

Deixe sua opinião!