Com certeza você já ouviu a história do programador que trabalhava em um banco, que alterou o código de um sistema para tirar 1 centavo de cada conta e creditar esse dinheiro na sua, o tornando milionário.

Casos como do malaio Aman Shah Ahmad que trabalhava no Hock Hua Bank acontecem sempre quando alguém mal intencionado faz uso de um acesso privilegiado e acaba fazendo coisas que não deveria fazer.

A fabricação

A história a seguir é baseada em fatos reais, porém o nome das empresas e pessoas envolvidas foram suprimidos ou alterados, em respeito a acordos de confidencialidade.

Eduardo é gerente de TI em um grande banco. Trabalha na área que cuida dos sistemas contábeis que suportam a operação do produto de Cartão de Crédito. É comum no seu dia a dia tratar incidentes onde há falha no processamento das informações. Porém, em uma manhã, ele fica apavorado quando sua chefe Patrícia o chama para discutir um caso específico. O departamento de Contabilidade havia achado uma divergência financeira relevante, proveniente do sistema responsável por fazer as operações de ajustes nas faturas.

Sistemas como esse existem, para entre outras coisas, permitir atender um cliente quando ele reclama de uma compra não reconhecida. Assim o back-office faz um lançamento a crédito na próxima fatura, resolvendo o problema rápido. Evita atrito com o cliente.

O que a Patrícia não sabia é que Eduardo tirava proveito de um usuário ativo em um banco de dados Oracle de produção desse sistema de acerto. Os dados dessa base posteriormente eram exportados para um processamento final no mainframe do banco, um pedaço obscuro da arquitetura de TI para a maioria das pessoas. Lá, na alta plataforma, as coisas possuem um nível de segurança maior por padrão, e o acesso de um funcionário de TI a dados produtivos é impensável.

Todos os meses Eduardo realizava um INSERT na tbl_ajustes, o que fazia ser creditado todos os meses alguns milhares de reais no seu cartão de crédito pessoal.

continua…

Para explorar mais

  • Office Space é um filme de 1999 que retrata um caso de Salami slicing.
  • Salami slicing é a prática de fracionar movimentações fraudulentas de dinheiro para não levantar suspeita.

Próximos posts

  • O Defacement que era um XSS persistido