Бразильский банк 10 месяцев держал конфиденциальные данные на виду

Уязвимость оставалась открытой, пока её не заметили исследователи.


qn4tw9ltpirrd61n3sodfp791sel2yav.jpg


Исследователи Cybernews обнаружили уязвимость в системе крупнейшего бразильского банка Braza Bank, который оставил свои данные открытыми для кибератак. Команда специалистов выявила, что в сети был доступен файл конфигурации (.env), содержащий чувствительную информацию, необходимую для работы банковских сервисов. Этот файл был доступен в течение десяти месяцев, что создавало серьёзные риски для безопасности как банка, так и его клиентов.

Финансовая группа Braza Group, частью которой является банк, включает в себя также компании Braza UK в Великобритании, Braza PT в Португалии, Braza Tech и сервис многовалютных счетов CloudBreak. Открытый файл мог предоставить злоумышленникам доступ к ключевым системам банка, таким как сервисы аутентификации, облачное хранилище данных, API и службы уведомлений.

Содержимое файла включало конфиденциальные данные, такие как ключи для аутентификации, данные для доступа к API и конфигурации сервисов электронной почты. Это создавало угрозу для пользователей банка, так как злоумышленники могли получить несанкционированный доступ к личной информации, отправлять фишинговые сообщения и даже манипулировать системами аутентификации.

Эксперты Cybernews подчеркнули, что утечка такого рода могла бы привести к серьёзным последствиям: злоумышленники могли воспользоваться уязвимостями для проведения атак и доступа к конфиденциальным данным. Они также отметили важность защиты конфигурационных файлов для предотвращения подобных инцидентов.

После обнаружения уязвимости команда Cybernews связалась с Braza Bank, который незамедлительно закрыл доступ к файлу. В официальном заявлении банк заявил, что утечка не затронула внутренние данные, так как скомпрометированные ключи уже были устаревшими или недостаточно привилегированными для нанесения вреда.

Braza Bank также сообщил, что усилил меры кибербезопасности и улучшил внутренние процессы для предотвращения подобных инцидентов в будущем.