Falha em site do Santander expõe dados pessoais de usuários
Do Estado de São Paulo:
"O banco Santander mantém desprotegido em seu site, especificamente sob o domínio santanderuniversidades.com.br, dados pessoais de pelo menos 127 pessoas de diversos Estados brasileiros. Uma das páginas, cujo endereço exato não é citado aqui por questões de privacidade, apresenta 67 campos com informações como nome completo, números de documentos (CPF, identidade, carteira de habilitação), número de telefone (residencial e celular), endereço completo, renda mensal, faculdade, mensalidade atrasada, se é correntista do banco ou não, escola onde cursou o ensino médio, nome do pai e nome da mãe e até veículo próprio. Não é preciso nome de usuário ou senha para acessar as informações, que datam de 24 de junho de 2010 a 20 de junho de 2011.
A reportagem entrou em contato com três pessoas listadas na página e elas confirmaram a veracidade dos dados. Bruno Mendonça, de Nova Iguaçu (RJ), 29, disse que as informações encontradas no site realmente pertencem a ele. “Sim, os dados estão certos”, disse. Karina Oliveira, de São Paulo, também confirmou as informações e se espantou com a revelação de seus dados, dizendo que entraria em contato com o banco. O terceiro, que preferiu se identificar apenas como Felipe, lembrou-se de ter preenchido informações no site do banco e disse que colocou os números dos documentos errados justamente porque não confia na segurança de sites.
Por meio de sua assessoria de imprensa, o Santander informou nesta tarde que “apurará os fatos mencionados para eventuais providências”. As páginas com os dados sigilosos de correntistas e não correntistas continuavam ativas até as 19h30 desta segunda-feira.
As informações exibidas relacionam-se, ao que tudo indica, a um formulário contido na página de Crédito de Educação Continuada, programa do Santander que possibilita o financiamento de cursos de pós-graduação e MBA em instituições de Ensino Superior conveniadas ao banco. Bruno Mendonça afirmou que realmente preencheu um formulário no site do banco em maio para solicitar financiamento de um curso de mestrado.
Segundo a lista à qual a reportagem teve acesso, o número de pessoas que preencheram esse formulário somava 49 até as 18 horas desta segunda-feira, 20. Os registros foram feitos entre 28 de setembro de 2009 e 20 de junho de 2011.
Outra página, cujo endereço exato também não é publicado por questões de privacidade, contém 78 nomes de pessoas, acompanhados de CPF, data de nascimento, telefone residencial e comercial, renda mensal comprovada, e-mail e universidade em que estuda. As informações foram registradas entre 24 de junho de 2010 e 29 de setembro de 2010 e relacionam-se à solicitação do cartão FIT, cartão de crédito para o público universitário.
O link, que possui endereço simples, foi encontrado por acaso por Rodrigo Varella Rahmi, 25, estudante de Ciência da Computação da Universidade Mackenzie, que entrou em contato com o O Estado de S. Paulo para comunicar o vazamento dos dados. Ele afirma que acessou o site do banco, há cerca de dois meses, em busca de informações para abrir uma conta universitária e encontrou a página com os dados.
O universitário conta que usava o navegador Mozilla Firefox, no sistema Linux, e que uma página que continha um flash solicitou o download de um arquivo. Ao ser direcionado para outra página, ele tentou voltar a página inicial apagando parte da URL (endereço da página na internet). “Quando removi parte da URL, ele me levou a uma listagem dos dados. Aí, descobri a lista. É isso”, afirmou.
A reportagem testou o link informado por Rodrigo em outros navegadores, no sistema operacional Windows, e, em todos eles, teve acesso aos mesmos dados. "
"O banco Santander mantém desprotegido em seu site, especificamente sob o domínio santanderuniversidades.com.br, dados pessoais de pelo menos 127 pessoas de diversos Estados brasileiros. Uma das páginas, cujo endereço exato não é citado aqui por questões de privacidade, apresenta 67 campos com informações como nome completo, números de documentos (CPF, identidade, carteira de habilitação), número de telefone (residencial e celular), endereço completo, renda mensal, faculdade, mensalidade atrasada, se é correntista do banco ou não, escola onde cursou o ensino médio, nome do pai e nome da mãe e até veículo próprio. Não é preciso nome de usuário ou senha para acessar as informações, que datam de 24 de junho de 2010 a 20 de junho de 2011.
A reportagem entrou em contato com três pessoas listadas na página e elas confirmaram a veracidade dos dados. Bruno Mendonça, de Nova Iguaçu (RJ), 29, disse que as informações encontradas no site realmente pertencem a ele. “Sim, os dados estão certos”, disse. Karina Oliveira, de São Paulo, também confirmou as informações e se espantou com a revelação de seus dados, dizendo que entraria em contato com o banco. O terceiro, que preferiu se identificar apenas como Felipe, lembrou-se de ter preenchido informações no site do banco e disse que colocou os números dos documentos errados justamente porque não confia na segurança de sites.
Por meio de sua assessoria de imprensa, o Santander informou nesta tarde que “apurará os fatos mencionados para eventuais providências”. As páginas com os dados sigilosos de correntistas e não correntistas continuavam ativas até as 19h30 desta segunda-feira.
As informações exibidas relacionam-se, ao que tudo indica, a um formulário contido na página de Crédito de Educação Continuada, programa do Santander que possibilita o financiamento de cursos de pós-graduação e MBA em instituições de Ensino Superior conveniadas ao banco. Bruno Mendonça afirmou que realmente preencheu um formulário no site do banco em maio para solicitar financiamento de um curso de mestrado.
Segundo a lista à qual a reportagem teve acesso, o número de pessoas que preencheram esse formulário somava 49 até as 18 horas desta segunda-feira, 20. Os registros foram feitos entre 28 de setembro de 2009 e 20 de junho de 2011.
Outra página, cujo endereço exato também não é publicado por questões de privacidade, contém 78 nomes de pessoas, acompanhados de CPF, data de nascimento, telefone residencial e comercial, renda mensal comprovada, e-mail e universidade em que estuda. As informações foram registradas entre 24 de junho de 2010 e 29 de setembro de 2010 e relacionam-se à solicitação do cartão FIT, cartão de crédito para o público universitário.
O link, que possui endereço simples, foi encontrado por acaso por Rodrigo Varella Rahmi, 25, estudante de Ciência da Computação da Universidade Mackenzie, que entrou em contato com o O Estado de S. Paulo para comunicar o vazamento dos dados. Ele afirma que acessou o site do banco, há cerca de dois meses, em busca de informações para abrir uma conta universitária e encontrou a página com os dados.
O universitário conta que usava o navegador Mozilla Firefox, no sistema Linux, e que uma página que continha um flash solicitou o download de um arquivo. Ao ser direcionado para outra página, ele tentou voltar a página inicial apagando parte da URL (endereço da página na internet). “Quando removi parte da URL, ele me levou a uma listagem dos dados. Aí, descobri a lista. É isso”, afirmou.
A reportagem testou o link informado por Rodrigo em outros navegadores, no sistema operacional Windows, e, em todos eles, teve acesso aos mesmos dados. "
Comentários