Dados escaparam em grandes volumes. Foto: Pixabay.

O Ministério Público no Distrito Federal instaurou inquérito civil público para apurar responsabilidades pelo suposto vazamento de dados pessoais dos clientes do Banco Pan.

De acordo com o MP do DF, que nos últimos meses se tornou a referência nacional no assunto privacidade e segurança de dados, este pode ser “o maior incidente de segurança envolvendo dados financeiros no Brasil”.

O MP teve acesso a 245 gigabytes de dados, o que corresponde a 1.235.151 arquivos de documentos relacionados a clientes da instituição. A hipótese até agora é que eles tenham vazado de uma ferramenta de armazenamento de dados em nuvem.

A investigação começou em julho, quando o site especializado The Hack publicou que teve acesso a dados de "pelo menos quatro instituições financeiras", sendo a "maioria" deles do Banco Pan.

O site teve acesso aos dados partir de um contato do Data Group, organização de pesquisadores brasileiros independentes dedicados a pesquisar vulnerabilidades críticas.

De acordo com o grupo, o vazamento envolveu 250 gigabytes de dados. 

Os arquivos reúnem versões digitais de documentos pessoais (RG, CPF, CNH), comprovantes de endereço, contratos, ordens de pagamento, demonstrativos, holerites, contracheques e cartões de crédito. 

O Data Group disse que a origem dos documentos era um bucket do Simple Storage Service (S3), serviço de armazenamento em nuvem da Amazon. 

Uma configuração incorreta teria deixado o servidor público, o que possibilitou o acesso de um usuário não-autenticado para realizar o download dos arquivos armazenados.

O banco Pan divulgou uma nota na qual informa que o “ambiente questionado não é de sua propriedade” e que, após “análise criteriosa” em seus sistemas de segurança, não foi constatada qualquer invasão.

Ainda de acordo com o banco, parceiros comerciais capturam dados cadastrais de potenciais clientes, antes da “efetiva formalização” de uma operação com o banco. Por outro lado, o Pan diz que “adota as medidas cabíveis caso identificado qualquer tipo de uso indevido dessas informações”.

O banco agrega ainda que não é possível afirmar que todos os dados são de clientes do Pan, uma vez que esse tipo de parceiro atua com vários bancos, incluindo os outros três mencionados pela reportagem do The Hack, que só citou o nome do Pan diretamente.

O leitor pode tirar as suas conclusões, mas a resposta do Pan parece algo confusa, dando a entender que os dados não são dos seus clientes, ou se são não são de sua responsabilidade - ainda que tome medidas para cuidar deles mesmo assim. 

A primeira premissa pode ser verdadeira em um sentido mais rígido, mas será suficiente para evitar consequências para o banco? Afinal, os parceiros agem em seu nome até certo ponto, o que poderia estabelecer uma co-responsabilidade pela gestão das infornações. 

O MP tem agido com dureza. Recentemente, o Banco Inter, teve de pagar R$ 1,5 milhão por vazamento de dados de 19 mil clientes e a Netshoes, comprada pela Magazine Luiza, que pagou R$ 500 mil pelos dados vazados de dois milhões de clientes.

Controlado pelo BTG Pactual e pela Caixa, o Banco Pan é um dos destaques da bolsa neste ano, com uma oferta de crédito consignado, financiamento de veículos e motos e cartões de crédito com foco em pessoas físicas nas classes C, D e E.