Segurança

Fintech brasileira iugu expõe dados confidenciais de clientes

Segundo um especialista de segurança cibernética, ficaram disponíveis publicamente dados de todos os clientes e detalhes de suas contas

Avatar do(a) autor(a): Jorge Marin

09/04/2021, às 07:54

Fintech brasileira iugu expõe dados confidenciais de clientes

Fonte:

Imagem de Fintech brasileira iugu expõe dados confidenciais de clientes no tecmundo

Um especialista e consultor de segurança divulgou em sua conta no Twitter, na quinta-feira (8), um alerta de violação de segurança de dados que possibilitou a divulgação de informações dos clientes da empresa de automação de operações financeiras iugu. Segundo o especialista, dados pessoais e bancários de clientes, bem como detalhes de suas transações, ficaram disponíveis ao público em um servidor desprotegido por cerca de uma hora.

O descobridor da falha, Bob Diachenko, é especialista em inteligência de ameaças cibernéticas e redator do blog SecurityDiscovery. Na quarta-feira (7), ele acessou os arquivos abertos, com dados de “todos os clientes e detalhes da conta: e-mails, telefones, endereços, faturas, etc”. O especialista detectou dados sensíveis datados de 2013 a 2021 em diferentes pastas.

Indexadas pelo Shodan, conhecido como o buscador dos hackers, havia cerca de 1,7 TB de informações da empresa que, alertada por Diachenko, removeu a base de dados em uma hora, tempo em que poderiam ter sido baixados por terceiros a partir de um servidor com proteções maliciosamente configuradas.

Embora não tenha, naturalmente, feito o download dos dados, Diachenko revelou um comprovante, com as informações confidenciais devidamente borradas, de um bloqueio de poupança com diversas inserções de senha incorreta, em uma aparente tentativa de saque. O documento revela o banco, agência, conta do cliente e saldo.

O que diz a iugu?

A iugu é uma fintech que atua no Brasil como plataforma de cobranças, ou seja, faz a intermediação de transações realizadas entre o estabelecimento vendedor e os consumidores, ficando responsável pelo processamento dos pagamentos. Ou seja, se o consumidor faz compras em uma loja virtual parceira, os dados da iugu é que aparecem na fatura do cartão de crédito.

Em um comunicado ao TecMundo, a iugu confirmou que “um dos seus bancos de dados de busca ficou exposto por aproximadamente duas horas e pode ter afetado cerca de 1% do nosso banco de dados de backup”. A empresa afirma que o problema foi resolvido e que as informações dos clientes não foram expostas.

"Informamos que o problema com a vulnerabilidade foi resolvido prontamente e informações dos clientes, como login, senhas, cartão de crédito, informações transacionais não foram expostas. Durante uma investigação interna, verificamos também que apenas um IP teve acesso a esta vulnerabilidade. Estamos averiguando se o incidente pode ter envolvido dados pessoais, e tomaremos todas as providências cabíveis a esse respeito".


Avatar do(a) autor(a): Jorge Marin

Por Jorge Marin

Especialista em Redator

Redator do Mega Curioso e do TecMundo, Jorge Marin escreve sobre Ciências e Tecnologia desde 2019, conectando conhecimento acadêmico com experiências humanas do dia a dia. É psicólogo, cinéfilo e botafoguense inveterado.