‘Eu que vazei os dados de clientes do Banco Neon’: uma conversa com um hacker

8 min de leitura
Imagem de: ‘Eu que vazei os dados de clientes do Banco Neon’: uma conversa com um hacker
Avatar do autor

Felipe Payão

Eram 22 horas de terça-feira (11) quando recebi de um amigo o alerta: “Cara, olha isso”, acompanhado de um link. O domínio em questão era de um fórum bem reconhecido na comunidade do cibercrime. A publicação indicava o vazamento de dados de 30 milhões de clientes do Banco Neon.

O leak, de fato, estava muito robusto: dados sensíveis e informações pessoais demonstradas de forma clara e com referência suficiente para atestar a possível veracidade do conteúdo. Além disso, poucos momentos depois, consegui checar que as imagens realmente se tratavam do sistema interno da Neon via fonte anônima que trabalhou no local e entrei em contato com a instituição. A reportagem estava pronta.

Enquanto entrava em contato com a Neon, era possível navegar entre os seguintes dados de clientes: nome completo, sexo, email, CEP, CPF, CPNJ, telefone, celular, profissão, nome da mãe, renda, saldo, situação na Receita Federal, perfil de conta, número da conta, fotos (selfies), imagens de documentos, históricos de compras (movimentações de pagamento via pix, por exemplo), solicitações, notificações e o modelo do aparelho celular do cliente em que o aplicativo Neon está instalado.

Já na quarta-feira (12), às 9h00, sou notificado pela mensagem de que o atacante que vazou os dados do banco quer falar comigo. Ele se identifica como “Pegasus”, já realizou outros ataques, é um pesquisador de segurança e, agora, você acompanha o que ele tem a dizer.

vazamentoneon2.jpg

A nossa conversa

TecMundo: Qual foi a sua motivação para realizar o ataque e vazamento?

Pegasus: “A insatisfação por não ser reconhecido financeiramente por achar bugs. Aqui no Brasil a cultura é totalmente invertida. Já achei muitas brechas, quando reporto, eles nem respondem, simplesmente corrigem a falha e ignoram o bounty. Aliás, o bounty aqui é ridículo. Falhas severas de domínio que exploro há anos, eles querem pagar mil dólares e ainda preferem me chamar de cibercriminoso. Fora os processos por ‘extorsão’, quando tento reportar uma falha.

TecMundo: Como foi o seu contato com o banco?

Pegasus: “Veja, eu tenho 30 milhões de dados completos, como você viu, e entrei em contato com o Neon antes de ontem (10), falei com diretoria e tudo mais, eles preferiram o caminho mais difícil, aliás, os únicos dados que estão expostos nesse momento foram os exemplos e os do vídeo que eu postei. Esses dados não estão à venda para terceiros, eu entrego apenas para duas pessoas, o banco ou o cliente. Eu investi tempo, dinheiro e intelecto nesse projeto. Fechei com o Neon a 5 BTC, eles confirmaram que iriam pagar ontem e nada! É tratar com pessoas sem compromisso e sem palavra. Veja, eu soltei sete mil SMSs para alertar os clientes deles”.

Ok, precisamos pontuar algumas coisas antes de voltar para esse papo. Em primeiro lugar, o bug bounty. São programas de recompensa sobre falhas e vulnerabilidades encontradas em sites. No Brasil, muitas empresas já recompensam pesquisadores de segurança por esse ajuda, mas o programa ainda não é tão robusto quanto em outros países, por exemplo.

O segundo ponto envolve o pedido de pagamento ao Banco Neon um dia antes da publicação dos dados. Pegasus me enviou prints de sua comunicação com funcionários do banco e, de fato, houve esse contato. O pedido de cinco bitcoins equivale a R$ 2,8 milhões.

Por último, Pegasus afirma ter enviado sete mil mensagens SMS para clientes afetados com a seguinte mensagem: “XXXX, seus dados foram vazados pelo Neon! Acesse com urgência: xxxxx”. Sim, ele montou um site no qual clientes poderiam checar se foram vazados. Contudo, exatamente pelo Banco Neon estar sobre a questão, vamos segurar por agora a divulgação do domínio.

vazamentoneon.jpg

TecMundo: Qual foi o caminho para chegar aos dados?

Pegasus: “Eu nunca trabalhei lá (Banco Neon). Foi uma falha de domínio que, aliás, existe em quase todos os sites .br. É uma questão de identidade”.

TecMundo: Poderia falar um pouco mais sobre isso?

Pegasus: “O problema é o .gov, mas tem outros meios sem ele também. Então, por isso que falo sobre identidade”.

Eu senti que, neste ponto, Pegasus não quis entrar em tantos detalhes. O assunto voltou para o contato com o Banco.

Pegasus: “Agora uma pergunta, quanto você acha que vale isso? Faça os cálculos, só em multas LGPD, indenizações, advogados, marca, credibilidade, investidores. Afinal, um banco é questão de confiança, ninguém vai deixar o seu dinheiro em um lugar que não confia. Então, quanto valeria uma brecha dessas? Eu só fiz uma coisa errada até agora: foi subtrair os dados. Mas aqui no Brasil só vai assim. Porque se eu tivesse mostrado para eles a falha (e ainda não mostrei), eles simplesmente tinham corrigido e me ignorado por completo”.

TecMundo: Mas eu vi que, para provar o leak, você demonstrou publicamente no fórum os dados de muitos clientes (no vídeo também). Esses clientes expostos como amostra não foram prejudicados pela exposição realizada?

Pegasus: “Foi para chamar atenção, eu sabia que vocês estavam lá. Desde o Serasa... Tanto é que já apaguei os posts e o vídeo. Sabe, eu não coloquei no YouTube, ali é muito restrito. Agora respondendo à pergunta: eu penso que as instituições precisam ser responsabilizadas por isso, esse é o terceiro dia que eu estou tentando chamar atenção para o impacto do dano, enviei até SMS para os clientes. Meu intuito não é prejudicar ninguém, se fosse, eu teria simplesmente despejado”.

TecMundo: Você já pensou nos próximos passos e o que pode acontecer agora?

Pegasus: Sim, está tudo bem planejado. Tem coisas que só descobrimos no campo de batalha. Infelizmente eu não posso te falar do tanto de reportagem que o TecMundo já fez dos meus trabalhos. Por enquanto, não posso identificá-los. Semana que vem já estou em outro projeto e vida que segue. Por aqui uso VPN + CLOUD (Rússia), dentro da CLOUD eu tenho uma VM que usa proxy e uso o Memu para WhatsApp. Esse número aqui eu compro em cripto (Monero), então... é irrastreável”.

“Sobre o Neon, espero que eles reconsiderem e aceitem minha proposta que está em um contrato inteligente na rede Ethereum [o contrato foi enviado ao TecMundo]. Espero que eles avisem os clientes de forma verdadeira, não essa baboseira de marketing. Mas, na real, eu não sei o que vai acontecer com eles. Espero que se recuperem. E que da próxima vez eles tenham mais cuidado com os compromissos que fazem”.

TecMundo: Então você não tem medo de ser preso por algo assim?

Pegasus: “Não. Como te falei, eu sou irrastreável há mais de 10 anos, então não tenho esse medo. E lido com bancos desde o tempo que estou no underground, eles não têm bola de cristal e, bom, meu santo é forte. Eu não posso te falar os nomes dos bancos com os quais eu já fiz acordo e tudo certo, mas estão entre os cinco primeiros”.

TecMundo: Me fala um pouco sobre você? Quem é você?

Pegasus: “Eu gosto de Felipe Ret (inclusive o último álbum dele está excelente), gosto de rap de mensagem, eu não sou fã de sertanejo, mas sou eclético. Minha idade eu não posso revelar, eu trabalho com bounty desde 2015 e cripto desde 2017, faço muitos trabalhos fora do Brasil, mas sabe, chegou no limite, não dá mais para ver tanta fraude usando dados roubados e os clientes totalmente vulneráveis”.

TecMundo: Conhece outros com trajetória similar?

Pegasus: “Em minha trajetória encontrei amigos com os mesmos problemas que os meus, que é achar falhas críticas e cruciais e simplesmente eles não podem fazer nada. São considerados cibercriminosos pelas instituições ao reportar as falhas etc. E, se for possível, gostaria de deixar felicitações aos mesmos, SubZero e Maranhão. Cara, na moral, dá vontade de chorar ao ver esses meus amigos acharem falhas tão fodas e não poderem ganhar uma boa recompensa financeira. Porque no final é isso que é reconhecimento”.

TecMundo: Você acha difícil ser preso e eu acho difícil te pagarem. Você acredita que o Ministério Público ou a Agência Nacional de Proteção de Dados vão atuar?

Pegasus: “Tomara que façam para o lado dos clientes, não para o meu. O MP tem que proteger os clientes, é função deles promover a justiça. Se não fizerem, eu realmente não ligo, o Brasil não lida bem com hackers éticos. Da minha parte, eu gosto do MP, trabalho bem com eles, Políca Federal, Polícia Civil... já fiz muitos trabalhos interessantes para eles, tem muita coisa no underground. Outra coisa, a Polícia Militar, eu deixei de trabalhar com eles faz algum tempo depois que usaram meu código para espionagem ilegal em vários e vários estados, instalando aplicativos espiões em celulares Android de pessoas abordadas nas ruas”.

TecMundo: Essa alegação de policiais instalarem spyware é uma denúncia muito forte. Preciso que fale mais sobre isso

Pegasus: “Nessa reportagem não é bom. Tem gente que vai saber identificar se vir isso que estou falando e juntar A+B. Eu cheguei na Polícia Civil para denunciar essa parada e eles simplesmente me ignoraram. Na verdade, me colocaram numa ambulância dos Bombeiros e me injetaram medicamentos etc. Deus é minha testemunha do que estou falando. Jesus é Rei dos Reis”.

Seguindo a recomendação de Pegasus, segurei esse ponto em nossa conversa e deixei para outro momento. A denúncia é forte e, caso isso realmente aconteça, é necessário uma apuração exclusiva — e, sim, vamos olhar para isso em breve.

Após essa troca de mensagens, Pegasus deletou o número e encerrou nosso contato — não sem pedir para deixar o seu próprio email de contato, então deixaremos: pegasus@pegasus.monster.

O nosso trabalho é informar e deixar você pronto para entender o mundo digital ao seu redor. Por isso, coloco aqui alguns cuidados para você melhorar a segurança da sua vida cibernética.

  • Desconfie de páginas e mensagens que chegam até você com ofertas, promoções ou informações incríveis (seja proativo, caso tenha dúvida, e busque canais oficiais);
  • Mantenha um bom antivírus instalado no seu celular e computador (Avast, Kaspersky, ESET, MalwareBytes etc);
  • Tenha segundo fator de autenticação em todas as suas contas (se possível, com app terceiro, sem SMS);
  • Peça ajuda: se você tem dúvida sobre qualquer link ou mensagem, peça ajuda para outra pessoa que entenda mais sobre como a internet do que você;
  • Mantenha seus apps e sistema operacional com a última atualização disponível, principalmente navegadores como Chrome, Edge, Firefox etc
  • Acompanhe registros financeiros em seu nome pelo Registrato, do Banco Central
  • Cheque senhas vazadas em Have I Been Pwned
  • Utilize senhas longas (mais de 12 caracteres) e complexas
  • Altere suas senhas a cada seis meses e não repita entre serviços
Cupons de desconto TecMundo:

Cupom Amazon: 35% Off

Eu quero

Cupom Samsung APP: 5% Off

Eu quero

Cupom Dell: 28% Off

Eu quero

Tênis Vans Ultrarange: 50% de Desconto no Cupom Vans

Eu quero

Cupom Rentcars: 5% Off em aluguel de carro

Eu quero

Quer receber as melhores ofertas do TecMundo no WhatsApp?

Siga o nosso canal de ofertas!

Seguir e economizar

Categorias

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.

Leia mais sobre Segurança

Canais Exclusivos

Mais lidas hoje

Últimas Notícias

Ver todas as Últimas Notícias