O vazamento de dados do Banco Neon, expondo informações de cerca de 30 milhões de clientes, veio à tona após um alerta em um fórum de cibercrime. Um especialista em segurança, auto identificado como “Pegasus”, reivindicou a autoria do ataque. Ele alegou ter tentado notificar o banco sobre as vulnerabilidades encontradas, mas sem obter reconhecimento ou recompensa adequados. Vamos explorar os detalhes desse caso e as implicações para a segurança de dados no Brasil.
Entenda o Vazamento de Dados do Banco Neon
Na noite de terça-feira (11), um alerta chamou a atenção para um fórum conhecido na comunidade de cibercrime: dados de 30 milhões de clientes do Banco Neon haviam sido vazados. A quantidade e a natureza das informações expostas eram alarmantes, incluindo dados sensíveis e pessoais. Uma fonte anônima confirmou que as imagens mostradas correspondiam ao sistema interno do banco, aumentando a credibilidade do leak. A instituição foi imediatamente contatada para verificar a informação.
Os dados comprometidos incluíam nome completo, sexo, email, CEP, CPF, CNPJ, telefone, celular, profissão, nome da mãe, renda, saldo, situação na Receita Federal, perfil de conta, número da conta, fotos (selfies), imagens de documentos, históricos de compras (movimentações de pagamento via pix), solicitações, notificações e o modelo do aparelho celular do cliente com o aplicativo Neon instalado.
Na quarta-feira (12), o responsável pelo ataque, que se identificou como “Pegasus”, entrou em contato para dar sua versão dos fatos. Pegasus alegou ser um pesquisador de segurança com experiência em outros ataques e disposto a compartilhar suas motivações e métodos.
A conversa com o Hacker Pegasus
A entrevista revelou as motivações e o ponto de vista do hacker por trás do vazamento de dados do Banco Neon. Pegasus alegou que sua ação foi motivada pela falta de reconhecimento financeiro ao reportar bugs e vulnerabilidades. Segundo ele, a cultura brasileira é falha nesse aspecto, com empresas ignorando ou oferecendo recompensas muito baixas por falhas de segurança críticas.
Leia também:
Pegasus afirmou ter tentado contato com a diretoria do Banco Neon antes de tornar os dados públicos, mas o banco teria optado por ignorá-lo. Ele alegou que os únicos dados expostos inicialmente foram os exemplos e os do vídeo que ele próprio postou. Segundo ele, os dados completos só seriam entregues ao banco ou aos clientes afetados. Pegasus alegou ter investido tempo, dinheiro e conhecimento no projeto, e que o banco não cumpriu com um acordo de pagamento de 5 Bitcoins.
Adicionalmente, Pegasus afirmou ter enviado cerca de sete mil mensagens SMS para alertar os clientes sobre o vazamento, direcionando-os para um site onde poderiam verificar se seus dados estavam comprometidos. No entanto, a divulgação do domínio foi temporariamente suspensa devido ao envolvimento do Banco Neon na questão.
Um ponto importante mencionado por Pegasus foi o bug bounty, um programa de recompensa por vulnerabilidades encontradas em sites. Embora algumas empresas no Brasil já adotem essa prática, ele argumenta que o sistema ainda não é tão robusto quanto em outros países. Ele reclama de ser chamado de “cibercriminoso” ao tentar reportar falhas, além de enfrentar processos por “extorsão”.
O Método de Acesso aos Dados
Pegasus alegou não ter sido funcionário do Banco Neon, explicando que o acesso aos dados foi possível através de uma falha de domínio presente em diversos sites “.br”. Ele mencionou que o problema está relacionado ao “.gov”, mas existem outros meios de exploração. A questão central seria a “identidade” online, mas ele evitou entrar em detalhes técnicos.
Ao ser questionado sobre o valor de sua descoberta, Pegasus argumentou que as multas da LGPD, indenizações, custos com advogados e danos à imagem e credibilidade do banco seriam significativos. Ele afirmou que sua única ação “errada” foi a subtração dos dados, justificando que, se tivesse apenas reportado a falha, ela teria sido corrigida sem qualquer reconhecimento.
Pegasus também reconheceu que a demonstração pública dos dados de clientes em fóruns e vídeos poderia ter prejudicado os indivíduos expostos, mas justificou a ação como uma forma de chamar a atenção e pressionar as instituições a se responsabilizarem pela segurança dos dados. Ele afirmou que seu objetivo não era prejudicar ninguém, e que teria evitado despejar todos os dados caso essa fosse sua intenção.
Quanto aos próximos passos, Pegasus afirmou ter tudo planejado e que já está se preparando para um novo projeto na semana seguinte. Ele garantiu que utiliza VPN + CLOUD (rússia), com uma VM que usa proxy e o Memu para Whatsapp, comprando números com criptomoedas (Monero) para dificultar o rastreamento.
O Lado Ético e as Implicações Legais
Pegasus expressou sua esperança de que o Banco Neon reconsiderasse sua proposta e cumprisse o contrato inteligente na rede Ethereum, além de alertar os clientes de forma transparente. No entanto, ele demonstrou incerteza sobre o futuro do banco e desejou que eles se recuperassem e tivessem mais cuidado com seus compromissos.
Questionado sobre o medo de ser preso, Pegasus afirmou ser “irrastreável” há mais de 10 anos e lidar com bancos desde o início de sua atuação no underground. Ele alegou ter feito acordos com diversos bancos entre os “5 primeiros” do país. Apesar de ser um ato ilícito, acessar dados ilegalmente é crime, assim como o vazamento de dados do Banco Neon. É importante buscar assessoria jurídica para entender os próximos passos.
Sobre sua identidade, Pegasus revelou gostar de rap de mensagem e ser eclético em seus gostos musicais. Ele trabalha com bounty desde 2015 e com criptomoedas desde 2017, realizando diversos trabalhos fora do Brasil. Ele expressou frustração com a crescente quantidade de fraudes utilizando dados roubados e a vulnerabilidade dos clientes.
Pegasus mencionou conhecer outros profissionais com problemas similares, que encontram falhas críticas e cruciais, mas são considerados cibercriminosos ao tentar reportá-las. Ele expressou seu desejo de que esses profissionais pudessem ser recompensados financeiramente pelo seu trabalho, citando os nomes de “SubZero” e “Maranhão”.
A Atuação do Ministério Público e da ANPD
Pegasus espera que o Ministério Público e a Agência Nacional de Proteção de Dados (ANPD) atuem em favor dos clientes, promovendo a justiça. Caso contrário, ele afirmou não se importar, argumentando que o Brasil não lida bem com hackers éticos. Ele revelou já ter trabalhado com o MP, Polícia Federal e Polícia Civil em diversos casos interessantes no underground.
Ele também fez uma grave denúncia sobre o uso de seu código para espionagem ilegal pela Polícia Militar em diversos estados, através da instalação de aplicativos espiões em celulares Android de pessoas abordadas nas ruas. Pegasus alegou ter tentado denunciar o caso à Polícia Civil, mas foi ignorado e medicado à força.
Após essa conversa, Pegasus deletou o número e encerrou o contato. Diante disso, é fundamental que os usuários estejam atentos e tomem medidas para proteger seus dados.
- Desconfie de páginas e mensagens com ofertas e promoções incríveis, buscando sempre os canais oficiais.
- Mantenha um bom antivírus instalado no celular e computador.
- Ative o segundo fator de autenticação em todas as suas contas.
- Peça ajuda se tiver dúvidas sobre links e mensagens.
- Mantenha seus aplicativos e sistema operacional atualizados.
- Acompanhe registros financeiros em seu nome pelo Registrato, do Banco Central.
- Verifique se suas senhas foram vazadas em Have I Been Pwned.
- Utilize senhas longas (mais de 12 caracteres) e complexas.
- Altere suas senhas a cada seis meses e não as repita em diferentes serviços.
Seguindo essas dicas, você estará mais preparado para se proteger no mundo digital e evitar ser vítima de vazamento de dados do Banco Neon e outros ataques cibernéticos. No mundo digital, a segurança é um esforço contínuo, e estar bem informado é o primeiro passo para proteger seus dados e sua privacidade.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
Via TecMundo
