sexta-feira, 9 de abril de 2021

Vazamento expõe 1,7 TB de dados dos clientes da fintech brasileira iugu

Uma grave brecha de segurança expôs as informações de, acredita-se, todos os clientes da empresa de serviços iugu, que atua no Brasil por meio de sistemas de automação e gerenciamento financeiros. Os dados pessoais, bancários e de transações dos usuários ficaram disponíveis em um servidor desprotegido ao longo de, pelo menos, uma hora.

A descoberta é do especialista e consultor em segurança Bob Diachenko, que, pelo Twitter, revela um incidente bastante grave. De acordo com ele, a falha descoberta nesta quarta-feira (7) envolve todos os clientes da iugu, em um total de 1,7 TB de dados que ficaram abertos a acesso público durante o período, podendo ser baixados por terceiros a partir de um servidor com proteções indevidamente configuradas.

No volume, estavam disponíveis as informações pessoais de clientes, como e-mails, nomes de usuário, números de telefone e endereços, além de registros de transações, documentos e outros detalhes financeiros. A amostra do vazamento, disponibilizada por Diachenko, indica a presença de dados sensíveis que datariam de 2013 até 2021 em diferentes pastas referentes a contas, comprovantes, assinaturas e mais.


Segundo Diachenko, o vazamento pode ter atingido todas as contas e clientes que utilizam os serviços financeiros da iugu. De acordo com informações disponíveis no site da plataforma, são mais de 50 mil empresas atendidas pela fintech, com mais de seis bilhões de transações registradas em 2019. Algumas pastas individuais, referentes a anos, chegam a conter quase 1 TB de dados, como é o caso do diretório de comprovantes, justamente, de dois anos atrás.

Uma segunda amostra das informações disponíveis exibe a gravidade do material que estava desprotegido nos servidores. Em um comprovante disponibilizado pelo especialista, com as informações sensíveis devidamente ofuscadas, está o registro do bloqueio de uma poupança, após sucessivas inserções de senha incorreta no que aparenta ser uma tentativa de saque. Aparecem no documento o banco, agência e conta do cliente, assim como saldo, data e hora em que o incidente foi registrado.

Em contato com o Canaltech, a iugu confirmou a exposição de um de seus bancos de dados por aproximadamente duas horas e afirma que a brecha afetou cerca de 1% das informações disponíveis em backup. Segundo a empresa, o problema já foi resolvido e as informações pessoais, senhas, comprovantes e dados bancários de seus clientes não foram expostas, uma vez que um único IP — possivelmente o de Diachenko — teve acesso ao volume. Confira a íntegra do comunicado da fintech:

Na manhã do último dia 07 de abril, a iugu verificou que um dos seus bancos de dados de busca ficou exposto por aproximadamente duas horas e pode ter afetado cerca de 1% do nosso banco de dados de backup. Informamos que o problema com a vulnerabilidade foi resolvido prontamente e informações dos clientes, como login, senhas, cartão de crédito, informações transacionais não foram expostas.

Durante uma investigação interna, verificamos também que apenas um IP teve acesso a esta vulnerabilidade. Estamos averiguando se o incidente pode ter envolvido dados pessoais, e tomaremos todas as providências cabíveis a esse respeito.

O que pode acontecer com esses dados?

O maior temor, aqui, é quanto a tentativas de ataques envolvendo engenharia social e golpes financeiros, em caso de exposição a terceiros maliciosos. De posse do volume de informações detalhadas, bandidos podem criar desde sites e e-mails falsos, direcionados aos clientes da iugu, quanto realizarem contatos telefônicos ou por mensagens na tentativa de obter algum dinheiro. Existe, ainda, a possibilidade de extorsão a partir de detalhes como operações realizadas, movimentações de contas e montantes disponíveis.

                                                                         FOTO:CANALTECH

Nenhum comentário: