Un banco brasileño mantuvo datos confidenciales a la vista durante 10 meses

Un banco brasileño mantuvo datos confidenciales a la vista durante 10 meses

La vulnerabilidad permaneció abierta hasta que los investigadores la notaron.

image

Los investigadores de Cybernews descubrieron una vulnerabilidad en el sistema del mayor banco brasileño, Braza Bank, que dejó sus datos expuestos a ciberataques. El equipo de especialistas encontró que en la red estaba disponible un archivo de configuración (.env) que contenía información confidencial necesaria para el funcionamiento de los servicios bancarios. Este archivo estuvo accesible durante diez meses, lo que creaba graves riesgos de seguridad tanto para el banco como para sus clientes.

El grupo financiero Braza Group, del cual forma parte el banco, también incluye a las empresas Braza UK en el Reino Unido, Braza PT en Portugal, Braza Tech y el servicio de cuentas multicurrency CloudBreak. El archivo expuesto podría haber permitido a los atacantes acceder a sistemas clave del banco, como los servicios de autenticación, almacenamiento en la nube, API y servicios de notificaciones.

El contenido del archivo incluía datos confidenciales como claves de autenticación, información para acceder a API y configuraciones de servicios de correo electrónico. Esto representaba una amenaza para los usuarios del banco, ya que los atacantes podrían haber obtenido acceso no autorizado a información personal, enviado mensajes de phishing e incluso manipulado los sistemas de autenticación.

Los expertos de Cybernews destacaron que una fuga de este tipo podría haber tenido graves consecuencias: los atacantes podrían haber explotado las vulnerabilidades para llevar a cabo ataques y acceder a datos confidenciales. También subrayaron la importancia de proteger los archivos de configuración para prevenir incidentes similares.

Después de descubrir la vulnerabilidad, el equipo de Cybernews se puso en contacto con Braza Bank, que cerró inmediatamente el acceso al archivo. En una declaración oficial, el banco afirmó que la filtración no afectó a los datos internos, ya que las claves comprometidas ya estaban obsoletas o no eran lo suficientemente privilegiadas como para causar daños.

Braza Bank también informó que ha reforzado las medidas de ciberseguridad y ha mejorado los procesos internos para prevenir incidentes similares en el futuro.

¿Estás cansado de que Internet sepa todo sobre ti?

¡Únete a nosotros y hazte invisible!