O banco HSBC sofreu um vazamento em 2015 e parece que algumas lições ainda não foram aprendidas. Em alerta aos clientes e notificação para a Justiça da Califórnia (EUA), o HSBC confirmou um novo vazamento de dados de clientes ocorrido entre os dias 04 e 14 de outubro.
Vale notar que menos de 1% das contas de clientes foram vazadas
“O HSBC tomou conhecimento de contas acessadas por usuários não autorizados entre 4 de outubro de 2018 e 14 de outubro de 2018. Quando o HSBC descobriu que sua conta online foi impactada, suspendemos o acesso online para impedir novas entradas não autorizadas de sua conta”, escreve o banco na notificação.
Vale notar que menos de 1% das contas de clientes foram vazadas e, até o momento, não se sabe a localidade das contas vazadas — se foram apenas de usuários norte-americanos ou também em outros países. O HSBC montou um canal próprio para ajudar clientes afetados.
Entre as informações vazadas, estão: nomes completos, endereços de correspondência, números telefônicos, endereços de email, datas de nascimento, números bancários, tipos de conta, saldo de conta, histórico de transações, informações de beneficiários e históricos de declarações.
Os cibercriminosos realizaram um ataque conhecido como “credential stuffing”
Rob Sherman, PR do HSBC, comentou o seguinte para a American Banker: “O HSBC lamenta esse incidente e assumimos nossa responsabilidade de proteger nossos clientes com muita seriedade. Respondemos a esse incidente fortalecendo nosso login e processos de autenticação e implementamos camadas adicionais de segurança para acesso digital e móvel a todas as contas bancárias pessoais e empresariais. Notificamos os clientes cujas contas podem ter acessos não autorizados e oferecemos a eles um ano de monitoramento de crédito e identificação do serviço de proteção contra roubo”.
Para conseguir as contas, os cibercriminosos realizaram um ataque conhecido como “credential stuffing”: um atacante rouba senhas e emails de outros vazamentos e força esses logins no site alvo esperando que a vítima não utilize senhas diferentes. Para refrescar a sua memória, a mesma coisa aconteceu com a Polícia Rodoviária Federal aqui no Brasil — e você pode ler mais aqui. Agora, não está claro se o credential stuffing ocorreu contra funcionários do banco para acesso ou em cada uma das contas.
Por isso, siga sempre essa recomendação: não reutilize senhas. Uma senha para conta e seja feliz.
Categorias
