Divulgações não autorizadas de dados na Check24 e na Verivox expõem endereços residenciais e detalhes de rendimentos.
Em uma recente revelação, hackers descobriram que dados sensíveis de usuários estavam publicamente disponíveis durante operações de intermediação de crédito realizadas por Check24 e Verivox. Este vazamento de dados serviu como um convite aberto para elementos criminosos. Um informante dentro do Chaos Computer Club (CCC) apontou o claro descuido no manuseio de dados dos consumidores.
De acordo com o Correctiv, o CCC revelou a existência de vazamentos significativos de dados dos plataformas de intermediação de crédito do Check24 e Verivox. Por algum tempo, detalhes dos acordos de empréstimo, incluindo informações sobre renda e números de contas bancárias, poderiam ser facilmente baixados de ambos os sites de comparação. "Qualquer um com uma simples busca na internet poderia descobrir onde os usuários residem, o tamanho de suas famílias, locais de trabalho, níveis de renda, planos de pagamento de empréstimos e informações da conta bancária", observou o porta-voz do CCC.
O Verivox reagiu rapidamente ao vazamento, afirmando que foi imediatamente corrigido após a notificação do CCC e não há evidências de qualquer acesso indevido aos dados, além do denunciante. Eles afirmaram que não houve nenhum dano aos seus clientes como resultado deste incidente. O oficial de proteção de dados do estado de Baden-Württemberg está atualmente investigando o assunto.
O Check24 inicialmente ignorou o problema, mas depois corrigiu-o, negando qualquer acesso indevido aos arquivos e reeducando sua equipe.
Informante diz: "Manuseio descuidado" de dados do cliente
De acordo com o CCC, um especialista em TI detectou vulnerabilidades no Check24 em julho, seguidas por falhas de segurança semelhantes no site do concorrente Verivox. Essas falhas deveriam ter sido detectadas durante verificações rotineiras. O porta-voz do CCC chamou isso de "manuseio descuidado" de dados dos consumidores, afirmando que 'buraco de segurança' é um eufemismo, já que os dados estavam acessíveis pela internet sem proteção.
Uma segunda falha de segurança foi encontrada no Check24, exigindo conhecimentos técnicos avançados. De acordo com o Correctiv, os dados do cliente, junto com links de download para arquivos PDF contendo ofertas de empréstimo, estavam sendo exibidos publicamente. "Esses arquivos continham detalhes como o nome do usuário, gênero, detalhes de contato, data de nascimento, nacionalidade, situação empregatícia, tempo de residência atual, renda familiar, histórico de empréstimos, situação de aluguel, tamanho da família e número de veículos. Detalhes adicionais da oferta de empréstimo incluíam o valor do empréstimo, planos de pagamento e informações da conta bancária, incluindo IBAN", afirmou o CCC.
Ambas as empresas foram informadas do problema através do CCC. A duração exata do vazamento e o número de usuários afetados permanecem desconhecidos. De acordo com o Correctiv, o Verivox poderia ter exposto conjuntos de dados de até 75.000 indivíduos. No entanto, especialistas não encontraram nenhuma evidência de que os dados dos usuários afetados tenham sido disseminados, negociados ou utilizados para fins criminosos.
O informante do CCC destacou o problema de "potencial de hacking" devido ao manuseio descuidado de dados de clientes nas plataformas do Check24 e Verivox. O fator causador foi a falta de identificação e correção oportuna das vulnerabilidades, que tornou os dados facilmente acessíveis para potenciais hackers.
