O SBI Deixa Vazar Dados de Milhões de Clientes Após Falhar na Segurança do Seu Servidor Principal

O State Bank of India (SBI) pode não ser o maior banco do mundo, mas ainda assim é uma organização substancial. Possui mais de $400 bilhões em ações e meio bilhão de clientes. Em outras palavras, as pessoas de todos os níveis sociais usam os seus serviços todos os dias. Algumas delas preferem comunicar-se com as pessoas e organizações por telefones velhos porque reconhecem que os smartphones modernos apresentam muitas ameaças à privacidade. Outros simplesmente não podem bancar um smartphone e estão presos aos botões, à tela pequena, e à vida superior da bateria.

Eles não podem instalar o YONO, o aplicativo móvel bancário do SBI, mas ainda precisam de informações a respeito do seu dinheiro enquanto estão em transito, que é o motivo pelo qual a instituição essa instituição financeira governamental desenvolveu o SBI Quick - um sistema baseado no SMS que trabalha com a ajuda de palavras-chave. Por exemplo, você quer saber qual o saldo da sua conta, e envia um texto com a palavra-chave predefinida. O sistema confirma que o seu número de telefone combina com o que foi associado à sua conta e responde com o seu saldo. Se precisar de uma outra informação (por exemplo, detalhes sobre as suas transações mais recentes), você envia uma outra palavra-chave.

Os desenvolvedores que elaboraram o sistema provavelmente ficaram muito orgulhosos do seu trabalho. Tanto que, na verdade, queriam compartilha-lo com o mundo inteiro. Foi isso ou eles eram os próximos em uma longa fila de desenvolvedores que criaram um erro de configuração massivo quando configurando um servidor na Internet.

Exposto o sistema de SMS do SBI

O SBI Quick opera usando um servidor que precisa estar conectado à Internet. Quando estavam lançando-o, as pessoas responsáveis pelo projeto colocaram toda a infraestrutura junta, conectaram os cabos da ethernet, e apertaram o botão LIGAR. O que elas se esqueceram de fazer foi pensar a respeito do aspecto de segurança ao deixar muitas informações sensíveis na Internet.

Ninguém se incomodou em proteger o servidor com uma senha, e como era de se esperar, um pesquisador de segurança que preferiu permanecer anônimo descobriu isso usando técnicas que estão disponíveis para todo mundo. O pesquisador sem nome entrou em contato com a TechCrunch que, em troca, informou o SBI e o Centro de Proteção de Infraestrutura de Informações Críticas Nacionais. Os representantes do SBI decidiram não comentar, mas felizmente, reconheceram o problema e colocaram o servidor por trás de uma senha.

Nós estamos vendo os mesmos, bobos, velhos erros

Os especialistas em segurança estão encontrando servidores e bancos de dados inseguros como esse todos os dias. Por razões que não são perfeitamente claras, mais e mais administradores de sistemas aparentam estar deixando toneladas de dados na Internet sem nenhuma forma de proteção. Durante as quatro últimas semanas apenas, nós vimos vários incidentes desse tipo. E não é como se o impacto em potencial seja insignificante também.

De acordo com a TechCrunch, o SBI Quick processa alguns milhões de mensagens todos os dias, e o servidor armazenou dois meses de dados. É seguro afirmar que muitos milhões de clientes do SBI poderiam ser afetados, e todos eles, especialmente aqueles com um saldo bancário maior, poderiam agora tornar-se alvos primários de todos os tipos de golpes.

O servidor desprotegido não é o único problema

Embora o sistema de SMS do SBI estivesse publicamente disponível, nós não sabemos ao certo se ninguém mais além do pesquisador anônimo chegou a isso. Em outras palavras, o erro de segurança pode, no final, não afetar ninguém, especialmente agora que o servidor está protegido e apenas as pessoas autorizadas podem acessa-lo.

Em suma, entretanto, o SBI pode querer começar a pensar mais sobre uma reforma mais fundamental do SBI Quick. Nós recentemente discutimos as desvantagens do SMS como um método para enviar informações sensíveis, e mencionamos exemplos de como a velha tecnologia por trás disso tem sido abusada.

De fato, explorar as falhas de segurança do SS7 é muito mais difícil do que iniciar um mecanismo de busca e encontrar um banco de dados com as portas da frente abertas. Os atacantes precisam ser muito mais sofisticados e motivados. Entretanto, o potencial para extrair muitos dados sensíveis ainda está por aí, e o SBI não deveria subestimá-lo.