Em abril de 2022, o Banco Pan confirmou um vazamento de dados que afetou cerca de 64 mil clientes da instituição. Segundo o BTG Pactual, responsável pela instituição financeira, o vazamento foi detectado em 15 de abril através de uma fragilidade na plataforma de fornecimento de tecnologia pela Central de Atendimento.

Esse vazamento fez com que diversas informações de clientes ficassem expostas como nome completo, data de nascimento, CPF, endereço, e também informações financeiras como limites de cartões e saldo devedor de faturas.

Leia mais:

Conforme a nota publicada pelo banco na época, a investigação interna revelou que não houve “comprometimento de conta-corrente, indisponibilidade de sistema, ou invasão à infraestrutura”. O Pan ainda afirmou que não foram expostos números de cartões, senhas ou qualquer dado que possibilite risco de perda financeira aos clientes.

publicidade

Já no final de abril, a Polícia Civil iniciou as investigações para encontrar os responsáveis pela invasão e vazamento de dados dos clientes do banco.

O Olhar Digital conversou com o delegado Vitor Franchini Luna e o investigador, Carlos Augusto Martins, da primeira delegacia de Divisão de Crimes Cibernéticos (DCCIBER), que contaram detalhes sobre a investigação que identificou os responsáveis pela invasão e vazamento de dados do Banco Pan.

O início da investigação

“Nós recebemos uma queixa do banco informando que os diretores do banco haviam sido contatados por uma pessoa desconhecida que alegava ter sido o responsável pela invasão nos sistemas do banco e que tinha conseguido baixar uma grande quantidade de dados”, conta Carlos.

Após receberem a denúncia em uma sexta-feira, o departamento passou o final de semana debruçado sobre o caso e conseguiu definir os primeiros passos da investigação que deu início a primeira operação na cidade de São João Del Rei em Minas Gerais. Na época, o suspeito pela invasão foi detido pela polícia e foram apreendidos HDs e celulares que estavam com ele.

Alguns dias após a primeira operação, os investigadores descobriram que haviam pessoas vendendo a base de dados vazada do banco em canais do Telegram. Carlos detalha que no grupo “Brazilian Data-base” usuários estavam divulgando a venda dos dados do banco junto de outras bases roubadas. Ele explica que começaram a monitorar as informações postadas e os negócios feitos naquele grupo.

“A gente foi coletando informações tanto de quem comprava e quanto de quem estava vendendo, pois muitas vezes as negociações eram feitas abertamente com o vendedor colocando a conta que ele queria receber o dinheiro.”

Ao identificar a conta que estava colocando os dados a venda, as autoridades descobriram que era uma conta falsa, aberta de forma fraudulenta para receber valores recebidos ilegalmente. Com essa informação, os policiais solicitaram quebras de sigilo telemático e sigilo bancário.

Em agosto de 2022, os policiais deram início a operação Sentinela, expedindo mandados de busca e apreensão em Avaré, onde estavam localizados os suspeitos por vender a base de dados, e na cidade de Araçatuba, onde alguém teria comprado os dados vazados.

Em Avaré foram localizados computadores que continham a base de dados do banco e outras 12 bases de outras empresas que eram vendidas por esse cibercriminoso.

“Ele foi preso em flagrante pela receptação qualificada, ou seja, com objetivo de comercializar o material que era vendido por cerca de R$ 3 mil”, conta o investigador. “Nós identificamos que ele era um dos três nicknames (apelidos) que estavam comercializando no grupo de Telegram.”

O homem detido se assumiu como responsável pela venda dos materiais, mas disse que não foi ele quem realizou a captação da base, mas seu parceiro que conheceu na internet. Através da análise dos materiais apreendidos, a polícia identificou que esse parceiro morava em João Pinheiro, no interior de Minas Gerais, dando início a parte dois da operação Sentinela.

A busca pelo hacker

Ao realizar o mandado de prisão contra esse segundo vendedor, a polícia não encontrou os dados do banco – afinal ele teve tempo para se livrar das provas – mas foram encontradas outras bases comercializadas por ele. O homem detido também assumiu que estava comercializando os dados do PAN, mas dessa vez revelou quem era o hacker responsável pela invasão.

Após a polícia realizar quebras de sigilo telemático, eles obtiveram a confirmação de que os pagamentos estavam sendo direcionados para o hacker indicado por esse segundo vendedor.

Aprofundando nas investigações, as autoridades descobriram que o vendedor da base de dados em João Pinheiro – MG e o hacker, responsável por efetivamente roubar os dados, eram amigos e haviam inclusive trabalhado juntos na mesma empresa.

As autoridades também descobriram que os dois chegaram a brigar pela venda dos dados. “Ele [o vendedor] teve acesso à base, mas não era para vender. Ele fez contra a vontade do hacker, que tinha a intenção de extorquir o banco. Já o vendedor teve a ideia de lucrar no mercado paralelo”, explica o investigador.

Após a invasão aos sistemas e o pedido de extorsão ao Banco Pan, o hacker foi embora do Brasil, se mudou para a França. O delegado Vitor Franchini Luna, informa que foi realizado o pedido de prisão preventiva e colaboração com a Interpol.

“Baseado no relatório, a gente pediu a prisão preventiva desse hacker foragido. Em caso de indeferimento dessa prisão preventiva, pedimos para a Interpol ajudar na prisão desse hacker na Europa e colocar o nome dele na lista vermelha de procurados internacionalmente.”

Para Luna, esse caso deve servir de exemplo para que malfeitores do mundo virtual aprendam que “não é brincadeira invadir o banco de dados e vender essas coisas pela internet, pois isso dá prisão e a pessoa fica um bom tempo presa. Foi que aconteceu no caso desses cibercriminosos”.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!