XP Investimentos sofre acesso não-autorizado e alerta clientes que estão seguros

A XP Investimentos disparou na manhã desta quinta-feira (24) um alerta aos clientes sobre um acesso-não autorizado. De acordo com a empresa, uma base de dados hospedada em fornecedor externo sofreu um acesso não-autorizado e, consequentemente, um vazamento de dados.

“Em 22/03/25, tomamos conhecimento de que uma base de dados que se encontrava hospedada em um fornecedor externo da XP teve um acesso não autorizado”, diz a XP em email disparado. “Imediatamente efetivamos o bloqueio deste acesso. Sua conta e seus investimentos estão em total segurança, pois nenhum sistema da XP foi acessado. A utilização dos nossos aplicativos e sites pode continuar sendo realizada normalmente e não é necessário alterar sua senha”.

A XP Investimentos afirma que, assim que tiveram conhecimento dos fatos, iniciaram uma investigação para conhecer a extensão do acesso. As autoridades competentes foram informadas.

• Leia também: Hackers podiam colocar anúncios falsos no Instagram de brasileiros

O que foi acessado 

Clientes da XP investimentos tiveram os seguintes dados acessados:

• Dados cadastrais: nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
• Dados XP: o número da conta na XP, saldo, posição, nome do assessor e limite de crédito, referentes ao mês de março

No comunicação, a empresa reforça: “Atuamos preventivamente para garantir a segurança e a integridade de dados. Assim que tivemos conhecimento dos fatos, iniciamos uma investigação em detalhe de forma a conhecer sua extensão e informamos imediatamente às autoridades competentes (…) Suas informações pessoais não estão sendo compartilhadas ou divulgadas de forma pública. Portanto, não é necessária nenhuma ação por sua parte”.

O que a XP reforça sobre o vazamento

Por três vezes ao longo do comunicado, a XP Investimentos reforça que o acesso indevido foi "prontamente interrompido". Além disso, que “sua conta está segura, nenhum sistema da XP foi acessado e não é necessária nenhuma ação por sua parte".

Ainda existem algumas questões, que o TecMundo já levou ao conhecimento da XP, sobre a extensão do acesso e como o acesso não-autorizado ocorreu e foi identificado. Os pontos são necessários para entender de fato se os dados citados acima foram recolhidos por alguém no acesso. Caso exista credential stuffing, por exemplo, o acesso tinha como meta a obtenção dos dados. 

E se meus dados vazarem?

A conta da XP Investimentos está segura, mas um ponto ainda não está claro: o que aconteceu com os dados visualizados? Eles foram recolhidos?

Dados cadastrais e diretos, como citados anteriormente, abrem espaço para diferentes tipos de golpes. Entre eles, estão:

• Phishing direcionado: golpistas “lançam uma isca certeira” por meio de e-mails, sites ou links falsos enviados por SMS ou WhatsApp para enganar usuários e roubar informações sensíveis, como senhas, dados bancários, números de cartões de crédito ou até dinheiro
• Vishing: é o phishing por voz: o criminoso realiza ligações telefônicas para enganar a vítima e roubar informações pessoais, sensíveis ou bancárias. As ligações podem ser feitas via simulação, com o criminoso se passando por um atendente de banco, por exemplo, ou com programas de inteligência artificial para simulação do timbre de conhecidos 

Para mais informações sobre cibersegurança, acompanhe nossa página dedicada no TecMundo!