É fato público que o Banco do Brasil, em Dezembro de 2013, teve um incidente de segurança que permitia que correntistas acessassem outras contas que não as suas. O assunto teve repercussão na mídia especializada (ver aqui) em função de sua seriedade sendo o incidente reconhecido no próprio Twitter da instituição.
Objetivando obter mais informações sobre o ocorrido, realizei um pedido de acesso à informação solicitando mais detalhes do caso. Publico aqui a pergunta feita e a resposta oficial dada pelo banco.
É importante ressaltar que no episódio 41 do Podcast Segurança Legal - do qual eu participo - foi realizada uma análise crítica e pormenorizada da situação. Portanto, para saber os detalhes do caso, acesse o link do episódio 41 do podcast.
Pedido de informação n. 99901.002034/2013-75 feito ao Banco do Brasil em 13/12/2013
No dia 09/12/2013 alguns correntistas do BB verificaram que os aplicativos mobile do banco estavam permitindo o acesso a outras contas QUE NÃO AS DO CORRENTISTA LOGADO. A situação foi relatada inclusive no próprio Twitter da instituição.
Assim, meu pedido consiste em obter as seguintes informações:
1 - Como o banco tomou conhecimento da falha de segurança?
2 - Qual foi, pormenorizadamente, a falha técnica que permitiu que o incidente ocorresse?
3 - Quantas contas foram indevidamente acessadas?
4 - Internamente, de quem foi a responsabilidade pelo erro que permitiu que a falha ocorresse?
5 - Qual foram as medidas tomadas pela equipe de segurança para corrigir a situação?
6 - Quais foram as medidas tomadas pela equipe de segurança para que problema semelhante não volte a ocorrer no futuro?
Resposta do Banco do Brasil enviada dia 06/01/2014
Prezado Sr. Guilherme
Encaminhamos-lhe resposta da Diretoria de Tecnologia ao seu pedido de informação:
"Sr Guilherme,
1. O Banco do Brasil identificou falhas no aplicativo BB Mobile Banking para as plataformas IPhone e Android. O problema foi detectado por meio do sistema interno de monitoramento do BB, às 20:40 do dia 09.12.2013
2. O problema surgiu nos processos periódicos de atualização de versões dos aplicativos. Houve, sobretudo, intermitência e inconsistência de dados cadastrais.
3. O incidente afetou usuários do BB Mobile Banking que estavam online no período de 19h52 até por volta das 20h40 do dia 09.12.2013.
4. Os sistemas de segurança do Banco do Brasil permaneceram ativos, e não houve comprometimento de dados ou risco no caso de transações bancárias para os clientes que utilizam o BB Mobile Banking.
5. Tao logo identificado o problema os acessos ao canal mobile foram interrompidos e implantou-se a versão anterior do aplicativo. O canal voltou a ficar disponível, com estabilidade, a partir das 23h45 do dia 09.12.2013.
6. O Banco do Brasil, por meio da Diretoria de Tecnologia, monitora permanentemente os sistemas e aplicativos disponibilizados aos clientes, com objetivo de oferecer alto grau de disponibilidade e segurança dos serviços. Em relação ao incidente em questão, foram reforçados os processos de testes (unitários, de sistemas e de integração) de forma a inibir a ocorrência de problema de natureza semelhante.
Em relação ao pedido de detalhamento das falhas ocorridas nos aplicativos, infomamos que o Serviço de informações ao Cidadão do Banco do Brasil - SICBB é fundamentado legalmente na Lei de Acesso à Informação - LAI (Lei 12.527/2011) e no Decreto 7.724/2012, que a regulamenta. Consta dos dispositivos mencionados que as sociedades de economia mista subordinam-se ao dever de prestar informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37, e no § 2º do art. 216 da Constituição Federal.
Nada obstante ser correto que, na condição de entidades integrantes da Administração Indireta, as sociedades de economia mista sujeitam-se ao princípio da publicidade, tal imposição CESSA quando for incompatível com os interesses das sociedades que executam o seu objeto social por meio do regime de concorrência previsto no art. 173 da Constituição Federal.
Neste sentido, a Lei 12.527/2011, em seu artigo 22:
O disposto nesta Lei não exclui as demais hipóteses legais de sigilo e de segredo de justiça, nem as hipóteses de segredo industrial decorrentes da exploração direta de atividade econômica pelo Estado ou por pessoa física ou entidade privada que tenha qualquer vínculo com o poder público.
No mesmo sentido, o Decreto 7.724/2012, dispõe em seu artigo 6º, I:
Art 6º O acesso à informação disciplinado neste Decreto não se aplica:
I - às hipóteses de sigilo previstas na legislação, como fiscal, bancário, de operações e serviços no mercado de capitais, comercial, profissional, industrial e segredo de justiça.
Diante disso informamos que o detalhamento solicitado é internamente classificado, quanto ao critério de disponibilidade, como Restrito - nível atribuído às informações que:
- Garantem a obtenção de vantagem competitiva;
- Contêm estratégias operacionais que, se divulgadas, sujeitam o Banco a riscos.
Att,
L. C. A.
Gerente de Divisão"
Recurso
=======
Conforme a Lei 12527/11 em seu artigo Art. 15, no caso de indeferimento de acesso a informações ou às razões da negativa do acesso, poderá o interessado interpor recurso contra a decisão no prazo de 10 (dez) dias a contar da sua ciência.
Parágrafo único. O recurso será dirigido à autoridade hierarquicamente superior à que exarou a decisão impugnada, que deverá se manifestar no prazo de 5 (cinco) dias.
Neste caso, o recurso será encaminhado ao Gerente Executivo da Diretoria de Tecnologia.
Atenciosamente,
Serviço de Informação ao Cidadão do Banco do Brasil – SICBB
Objetivando obter mais informações sobre o ocorrido, realizei um pedido de acesso à informação solicitando mais detalhes do caso. Publico aqui a pergunta feita e a resposta oficial dada pelo banco.
É importante ressaltar que no episódio 41 do Podcast Segurança Legal - do qual eu participo - foi realizada uma análise crítica e pormenorizada da situação. Portanto, para saber os detalhes do caso, acesse o link do episódio 41 do podcast.
Pedido de informação n. 99901.002034/2013-75 feito ao Banco do Brasil em 13/12/2013
No dia 09/12/2013 alguns correntistas do BB verificaram que os aplicativos mobile do banco estavam permitindo o acesso a outras contas QUE NÃO AS DO CORRENTISTA LOGADO. A situação foi relatada inclusive no próprio Twitter da instituição.
Assim, meu pedido consiste em obter as seguintes informações:
1 - Como o banco tomou conhecimento da falha de segurança?
2 - Qual foi, pormenorizadamente, a falha técnica que permitiu que o incidente ocorresse?
3 - Quantas contas foram indevidamente acessadas?
4 - Internamente, de quem foi a responsabilidade pelo erro que permitiu que a falha ocorresse?
5 - Qual foram as medidas tomadas pela equipe de segurança para corrigir a situação?
6 - Quais foram as medidas tomadas pela equipe de segurança para que problema semelhante não volte a ocorrer no futuro?
Resposta do Banco do Brasil enviada dia 06/01/2014
Prezado Sr. Guilherme
Encaminhamos-lhe resposta da Diretoria de Tecnologia ao seu pedido de informação:
"Sr Guilherme,
1. O Banco do Brasil identificou falhas no aplicativo BB Mobile Banking para as plataformas IPhone e Android. O problema foi detectado por meio do sistema interno de monitoramento do BB, às 20:40 do dia 09.12.2013
2. O problema surgiu nos processos periódicos de atualização de versões dos aplicativos. Houve, sobretudo, intermitência e inconsistência de dados cadastrais.
3. O incidente afetou usuários do BB Mobile Banking que estavam online no período de 19h52 até por volta das 20h40 do dia 09.12.2013.
4. Os sistemas de segurança do Banco do Brasil permaneceram ativos, e não houve comprometimento de dados ou risco no caso de transações bancárias para os clientes que utilizam o BB Mobile Banking.
5. Tao logo identificado o problema os acessos ao canal mobile foram interrompidos e implantou-se a versão anterior do aplicativo. O canal voltou a ficar disponível, com estabilidade, a partir das 23h45 do dia 09.12.2013.
6. O Banco do Brasil, por meio da Diretoria de Tecnologia, monitora permanentemente os sistemas e aplicativos disponibilizados aos clientes, com objetivo de oferecer alto grau de disponibilidade e segurança dos serviços. Em relação ao incidente em questão, foram reforçados os processos de testes (unitários, de sistemas e de integração) de forma a inibir a ocorrência de problema de natureza semelhante.
Em relação ao pedido de detalhamento das falhas ocorridas nos aplicativos, infomamos que o Serviço de informações ao Cidadão do Banco do Brasil - SICBB é fundamentado legalmente na Lei de Acesso à Informação - LAI (Lei 12.527/2011) e no Decreto 7.724/2012, que a regulamenta. Consta dos dispositivos mencionados que as sociedades de economia mista subordinam-se ao dever de prestar informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37, e no § 2º do art. 216 da Constituição Federal.
Nada obstante ser correto que, na condição de entidades integrantes da Administração Indireta, as sociedades de economia mista sujeitam-se ao princípio da publicidade, tal imposição CESSA quando for incompatível com os interesses das sociedades que executam o seu objeto social por meio do regime de concorrência previsto no art. 173 da Constituição Federal.
Neste sentido, a Lei 12.527/2011, em seu artigo 22:
O disposto nesta Lei não exclui as demais hipóteses legais de sigilo e de segredo de justiça, nem as hipóteses de segredo industrial decorrentes da exploração direta de atividade econômica pelo Estado ou por pessoa física ou entidade privada que tenha qualquer vínculo com o poder público.
No mesmo sentido, o Decreto 7.724/2012, dispõe em seu artigo 6º, I:
Art 6º O acesso à informação disciplinado neste Decreto não se aplica:
I - às hipóteses de sigilo previstas na legislação, como fiscal, bancário, de operações e serviços no mercado de capitais, comercial, profissional, industrial e segredo de justiça.
Diante disso informamos que o detalhamento solicitado é internamente classificado, quanto ao critério de disponibilidade, como Restrito - nível atribuído às informações que:
- Garantem a obtenção de vantagem competitiva;
- Contêm estratégias operacionais que, se divulgadas, sujeitam o Banco a riscos.
Att,
L. C. A.
Gerente de Divisão"
Recurso
=======
Conforme a Lei 12527/11 em seu artigo Art. 15, no caso de indeferimento de acesso a informações ou às razões da negativa do acesso, poderá o interessado interpor recurso contra a decisão no prazo de 10 (dez) dias a contar da sua ciência.
Parágrafo único. O recurso será dirigido à autoridade hierarquicamente superior à que exarou a decisão impugnada, que deverá se manifestar no prazo de 5 (cinco) dias.
Neste caso, o recurso será encaminhado ao Gerente Executivo da Diretoria de Tecnologia.
Atenciosamente,
Serviço de Informação ao Cidadão do Banco do Brasil – SICBB
