O Banco do Brasil anunciou na última segunda-feira (10/3), que desativou um recurso que integrava seu serviço de internet banking ao Facebook. A conexão foi descoberta por um dos clientes do banco, que afirmou que cada acesso ao site da instituição financeira era compartilhada com a rede social e que isso poderia permitir que terceiros tomassem conhecimento das operações feitas pelo titular da conta.
Segundo Hisham Muhammad, autor da descoberta, era possível visualizar uma aba com o logo do Facebook dentro do site seguro do banco. “Logo pensei que era uma coisa muito idiota. Imagine, carregar material do site do Facebook de dentro da conexão segura com o banco. Fiquei com raiva do Banco sequer oferecer essa opção para as pessoas”, afirmou ele em sua página na própria rede social.
No entanto, ao verificar as conexões que o site do BB faz quando carrega, Muhammad notou que o banco enviava uma requisição ao domínio “facebook.com” a partir do próprio site da instituição financeira e a cada página que era acessada (imagem abaixo). “Mesmo com a aba do Facebook não sendo acessada, a rede social é informada que eu acabei de pedir pra ver meu extrato. (Como eles já sabem o meu IP afinal então cruzar com os hits via BB é trivial.) O BB aparentemente não é tão burro a ponto de enviar os dados da página pro Facebook, mas é burro a ponto de enviar a URL. Através dela dá pra descobrir quais as operações realizadas – cada fundo de investimento tem uma URL diferente, por exemplo”, declarou Muhammad. “Primeiro eu achava esse site novo do BB só feio. Aí eu tentei usar e vi que tem pior usabilidade. Agora eu descobri que é menos seguro. Sabe-se lá o que mais de tosco ele faz”.
Ao entrar em contato com o Banco do Brasil via Twitter, Muhammad foi contatado pelo departamento de TI da companhia, que afirmou que “deveria entrar no ar uma versão nova do site, com a integração com o Facebook ‘temporariamente desligada'”. De fato, no último dia 07, o BB apresentou uma nova versão da página., com o recurso social desativado.
Abaixo, segue um comunicado oficial do Banco do Brasil sobre o caso:
“O Banco do Brasil oferece a seus clientes soluções tecnológicas avançadas e seguras.
O cliente pode utilizar suas informações das redes sociais para facilitar seu relacionamento com o Banco em ambiente seguro onde estão preservados os dados dos usuários.
Todas as soluções disponibilizadas pelo Banco passam por constante evolução e as contribuições dos clientes são importantes para aprimorá-las.
Mesmo entendendo que a situação apontada não implica em fragilidade dos dados dos clientes, o Banco do Brasil informa que desabilitou a funcionalidade neste final de semana para analisar os procedimentos envolvidos.”
Acompanhe o Softonic nas redes sociais: curta a fanpage do Softonic no Facebook e siga @softonic_br no Twitter.
