Banco Pan: como um único script vazou dados de milhares de clientes (e o que isso significa para a sua empresa)
Em 2022, o Banco Pan teve dados de milhares de clientes vazados por uma única falha técnica. Entenda em 3 minutos por que isso pode acontecer com a sua empresa hoje.
Banco Pan: como um único script vazou dados de milhares de clientes (e o que isso significa para a sua empresa)
Em abril de 2022, o Banco Pan acordou com uma notícia desagradável: alguém tinha conseguido extrair dados cadastrais de milhares de clientes. Nome, CPF, endereço, limite de cartão, saldo de fatura. Tudo isso na mão de criminosos.
O método? Decepcionantemente simples. Um script automatizado batendo, uma a uma, nas portas digitais do banco. Sem hack sofisticado, sem vírus, sem técnica de filme. Só um problema técnico que ninguém tinha notado.
E aqui está a parte que deveria tirar o sono de qualquer executivo: a sua empresa provavelmente tem o mesmo problema agora.
O que aconteceu, em uma frase
A integração entre os sistemas do banco e o app dos clientes (o que o pessoal de TI chama de "API") tinha uma falha de configuração. Era como ter um cofre com uma fechadura nova, brilhante, mas com a porta dos fundos só encostada.
O Banco Pan tinha investido em segurança. Tinha equipe. Tinha processos. E mesmo assim, virou manchete.
Por que isso importa para a sua empresa
Você pode estar pensando: "Mas eu não sou banco."
Verdade. Mas se a sua empresa tem aplicativo, sistema online, integração com fornecedores, área do cliente, e-commerce, plataforma de vendas — qualquer coisa que troque informação pela internet — você tem o mesmo tipo de risco.
E o estrago não é só financeiro. Pesquisa da Akamai mostra que 84% das empresas brasileiras sofreram algum incidente desse tipo entre 2023 e 2024. Quatro em cada cinco. As outras vinte por cento, em geral, ainda não descobriram.
O que acontece quando isso vira notícia
Faz a conta:
Multa da ANPD por descumprimento da LGPD. Ação coletiva de clientes lesados. Custo de auditoria forense para entender o tamanho do estrago. Equipe de TI parada por semanas tentando consertar. Imprensa ligando. Cliente cancelando. Concorrente aproveitando.
O Banco Pan tem caixa e marca consolidada para absorver o tranco. Pequenas e médias empresas, geralmente, não têm.
A pergunta que importa
Quem foi a última pessoa que testou, de verdade, a segurança dos seus sistemas?
Se a resposta for "ninguém", "o pessoal de TI", ou "a gente nunca fez", você já tem um problema. Equipe interna conhece o sistema bem demais para enxergar as falhas. É como pedir para o motorista revisar o próprio carro: ele vai dizer que está tudo bem porque sempre esteve.
Por isso existe pentest. Um time externo, especializado, que tenta invadir do jeito que um criminoso invadiria. A diferença é que ele te entrega um relatório no final, em vez de extorquir você.
O custo de descobrir antes vs. descobrir depois
Um pentest profissional custa entre R$ 15 mil e R$ 50 mil, dependendo do tamanho da operação. Multa de LGPD por vazamento começa em centenas de milhares e pode chegar a R$ 50 milhões.
Não é uma decisão difícil. É uma decisão adiada.
Onde a NexGuard entra
A gente faz exatamente o que o Banco Pan precisaria ter feito antes do incidente: olha para os seus sistemas com o olhar de quem quer invadir, encontra as portas mal fechadas, e te entrega o caminho da correção antes que alguém com má intenção encontre primeiro.
O processo é rápido, discreto, e o resultado é uma noite de sono melhor.
**Quer saber se a sua empresa está exposta? Vinte minutos, sem compromisso. Pior cenário: você descobre que está tudo bem. Melhor cenário: você descobre o que precisa ser corrigido antes que vire manchete.
Caso documentado por TecMundo, Olhar Digital, Canaltech e Ministério Público do Distrito Federal e Territórios.
