Fintech brasileira iugu expõe dados confidenciais de clientes

Um especialista e consultor de segurança divulgou em sua conta no Twitter, na quinta-feira (8), um alerta de violação de segurança de dados que possibilitou a divulgação de informações dos clientes da empresa de automação de operações financeiras iugu. Segundo o especialista, dados pessoais e bancários de clientes, bem como detalhes de suas transações, ficaram disponíveis ao público em um servidor desprotegido por cerca de uma hora.

O descobridor da falha, Bob Diachenko, é especialista em inteligência de ameaças cibernéticas e redator do blog SecurityDiscovery. Na quarta-feira (7), ele acessou os arquivos abertos, com dados de “todos os clientes e detalhes da conta: e-mails, telefones, endereços, faturas, etc”. O especialista detectou dados sensíveis datados de 2013 a 2021 em diferentes pastas.

Indexadas pelo Shodan, conhecido como o buscador dos hackers, havia cerca de 1,7 TB de informações da empresa que, alertada por Diachenko, removeu a base de dados em uma hora, tempo em que poderiam ter sido baixados por terceiros a partir de um servidor com proteções maliciosamente configuradas.

Embora não tenha, naturalmente, feito o download dos dados, Diachenko revelou um comprovante, com as informações confidenciais devidamente borradas, de um bloqueio de poupança com diversas inserções de senha incorreta, em uma aparente tentativa de saque. O documento revela o banco, agência, conta do cliente e saldo.

O que diz a iugu?

Breach alert: on Apr 7th ????-based fintech IUGU exposed its entire database, incl. ALL customers and account details: emails, phones, addresses, invoices etc. IP with 1.7TB indexed by Shodan, I immediately alerted the company, db was taken down within an hour. No response. pic.twitter.com/zQushSQieL

— Bob Diachenko (@MayhemDayOne) April 8, 2021

A iugu é uma fintech que atua no Brasil como plataforma de cobranças, ou seja, faz a intermediação de transações realizadas entre o estabelecimento vendedor e os consumidores, ficando responsável pelo processamento dos pagamentos. Ou seja, se o consumidor faz compras em uma loja virtual parceira, os dados da iugu é que aparecem na fatura do cartão de crédito.

Em um comunicado ao TecMundo, a iugu confirmou que “um dos seus bancos de dados de busca ficou exposto por aproximadamente duas horas e pode ter afetado cerca de 1% do nosso banco de dados de backup”. A empresa afirma que o problema foi resolvido e que as informações dos clientes não foram expostas.

"Informamos que o problema com a vulnerabilidade foi resolvido prontamente e informações dos clientes, como login, senhas, cartão de crédito, informações transacionais não foram expostas. Durante uma investigação interna, verificamos também que apenas um IP teve acesso a esta vulnerabilidade. Estamos averiguando se o incidente pode ter envolvido dados pessoais, e tomaremos todas as providências cabíveis a esse respeito".