Tudo começou quando o TecMundo informou que recebeu um arquivo criptografado de 40 GB com informações pessoais de 300 mil clientes do Banco Inter. Entre as informações, estão dados cadastrais como senha, código de segurança (CVV), e-mail, telefone, documentos, declarações de imposto de renda e fotos de cheques para compensação via aplicativo.
No mesmo dia, o Banco Inter declarou que “não houve invasão e tampouco comprometimento dos sistemas de segurança”. Em comunicado ao mercado, afirmou que a notícia do vazamento era “inverídica, com conteúdo técnico questionável e impreciso, publicada com o objetivo exclusivo de prejudicar a reputação do banco”. Disse ainda que a divulgação de “notícias falsas ou fatos verdadeiros truncados ou deturpados” a respeito de instituição financeira era crime. Só que o pesquisador de segurança Thiago Ayub compartilhou no Twitter, no dia 9 de maio, um teste que mostrava uma troca de mensagens criptografada com a chave privada do Banco Inter, como informa a Exame. Essa chave é sigilosa, portanto, não deveria ter sido exposta para pessoas de fora do banco. Em 11 de maio, o certificado foi revogado com o motivo “keyCompromise”, indicando que a chave foi comprometida.
O pesquisador propôs a criação de um sistema para que os clientes pudessem verificar se suas informações estavam no vazamento. No entanto, o projeto nunca foi lançado: após solicitar um pronunciamento do banco, Ayub informou que foi censurado, sem deixar claro quem teria feito isso. O G1 confirmou a autenticidade de um dos certificados revogados, emitido pela GoDaddy, que estava sendo utilizado pelo Banco Inter desde 14 de outubro de 2017. Mesmo tendo validade até 18 de agosto de 2019, o certificado foi revogado no dia 11 de maio de 2018. Atualmente, o site do Banco Inter adota um certificado diferente, emitido em 29 de abril de 2018 pela DigiCert.
De posse da chave privada, uma pessoa mal intencionada poderia criar uma réplica fiel do site do Banco Inter, utilizando um certificado legítimo da própria instituição, abrindo espaço para ataques de phishing. A revogação do certificado com a chave comprometida evita que isso aconteça no futuro, mas pode servir como uma prova importante para a investigação do possível vazamento de dados de clientes. Oficialmente, o Banco Inter diz à Exame que foi “vítima de ação criminosa” e continua afirmando que não houve “comprometimento da segurança no ambiente externo e nem dano à sua estrutura tecnológica”. O Tecnoblog procurou o banco para obter um posicionamento sobre o vazamento da chave de criptografia privada, mas a empresa não havia respondido até a última atualização deste texto.