O Banco do Brasil anunciou na última segunda-feira (10/3), que desativou um recurso que fazia com que o seu serviço de internet banking fosse integrado ao Facebook. A conexão foi descoberta por um dos clientes do banco, que afirmou que cada acesso ao site da instituição financeira é compartilhada com a rede social e que isso poderia permitir que terceiros tomassem conhecimento das operações feitas pelo titular da conta.
Segundo Hisham Muhammad, autor da descoberta, era possível visualizar uma aba com o logo do Facebook dentro do site seguro do banco. ” Logo pensei que era uma coisa muito idiota. Imagine, carregar material do site do Facebook de dentro da conexão segura com o banco. Fiquei com raiva do Banco sequer oferecer essa opção pras pessoas”, afirmou ele em sua página na própria rede social
No entanto, ao verificar as conexões que o site do BB faz quando carrega, ele notou que o mesmo envia uma requisição ao domínio “facebook.com” a partir do próprio site da instituição financeira e a cada página que é acessada (imagem abaixo). “Mesmo com a aba do Facebook não sendo acessada, a rede social é informada que eu acabei de pedir pra ver meu extrato. (Como eles já sabem o meu IP afinal então cruzar com os hits via BB é trivial.) O BB aparentemente não é tão burro a ponto de enviar os dados da página pro Facebook, mas é burro a ponto de enviar a URL . Através dela dá pra descobrir quais as operações realizadas — cada fundo de investimento tem uma URL diferente, por exemplo”, declarou Muhammad. “Primeiro eu achava esse site novo do BB só feio. Aí eu tentei usar e vi que tem pior usabilidade. Agora eu descobri que é menos seguro. Sabe-se lá o que mais de tosco ele faz”.
Ao entrar em contato com o Banco do Brasil via Twitter, Muhammad foi contatado pelo departamento de TI da companhia, que afirmou que “deveria entrar no ar uma versão nova do site, com a integração com o Facebook ´temporariamente desligada´”. E no último dia 07, o BB apresentou uma nova versão da página, com o recurso social desativado.
Abaixo, segue um comunicado oficial do Banco do Brasil sobre o caso: “O Banco do Brasil oferece a seus clientes soluções tecnológicas avançadas e seguras.
O cliente pode utilizar suas informações das redes sociais para facilitar seu relacionamento com o Banco em ambiente seguro onde estão preservados os dados dos usuários.
Todas as soluções disponibilizadas pelo Banco passam por constante evolução e as contribuições dos clientes são importantes para aprimorá-las. Mesmo entendendo que a situação apontada não implica em fragilidade dos dados dos clientes, o Banco do Brasil informa que desabilitou a funcionalidade neste final de semana para analisar os procedimentos envolvidos.”
