Código-fonte da Stone vaza às véspera de lançar ações na Nasdaq

Código-fonte da Stone vaza às véspera de lançar ações na Nasdaq. A Stone, empresa brasileira de meios de pagamento, anunciou vazamento de dados às vésperas do lançamento de ações na bolsa eletrônica Nasdaq, nos Estados Unidos.

Segundo a Revista Veja , as ações da companhia devem partir de 24 dólares, acima do preço recomendado, entre 21 e 23 dólares, valorizada devido ao interesse do magnata Warren Buffett, dono da holding de investimentos Berkshire Hathaway.

A Stone é uma das diversas empresas que oferecem maquininhas de cartão de crédito, concorrendo com PagSeguro, Cielo e Rede. 

Contudo, na véspera do esperado dia 25 de outubro, a empresa passou por uma situação delicada que a forçou a reportar à SEC (Securities and Exchange Commision), a Comissão de Valores Mobiliários americana, que sofreu um ciberataque, com vazamento de informações e chantagem.

Em documento entregue à SEC na quarta-feira dia 24, a Stone disse que parte do código-fonte do sistema Pagar.me e de sua maquininha foram publicados na internet. Além disso, a empresa foi vítima de chantagem: alguém está ameaçando vazar mais partes do código, a menos que receba pagamentos em dinheiro.

A Stone descobriu o vazamento um dia antes, e disse à SEC que “o código-fonte vazado não contém informações sensíveis do ponto de vista concorrencial”.

Além disso, a empresa afirmou que não houve vazamentos de dados pessoais ou financeiros. “Acreditamos que não houve acesso não-autorizado, transferência ou uso inadequado de informações pessoais e financeiras ou de dados de negócios de nossos clientes e seus consumidores”, afirmou a empresa à SEC.

A empresa ainda falou sobre sua preocupação com os preços das ações. “Devido à natureza de nossos negócios, estamos sujeitos ao risco de divulgações não autorizadas, como essas, que podem afetar adversamente o preço de nossas ações.”

O Ministério Público do Distrito Federal, um dos mais atuantes em ações na área de vazamentos cibernéticos, abriu investigação para acompanhar as consequências de divulgação do código-fonte do software da Stone Pagamentos.

Na abertura do procedimento o promotor de justiça Frederico Meinberg Ceroy cita, segundo o jornal Folha de São Paulo, o aviso à SEC sobre a “exposição indevida do código-fonte proprietário usado nas soluções Pagar.me, PSP Solution e Plataforma Stone”.

O vazamento da Stone levanta a especulação dos diversos motivadores estão por detrás das ações de hackers, que vão desde ativismo social, roubo financeiro , motivação política e financeira (como parece ser o caso) até crimes contra o Estado.

Seja lá qual for o motivo por detrás do vazamento da Stone, uma coisa é certa, as empresas devem cada vez mais estar atentas aos princípios básicos de melhores praticas de segurança, entre eles a proteção de códigos, materiais confidenciais e práticas de desenvolvimento seguro.

Embora aqui não possamos afirmar que se relacionado à desenvolvedores, internos ou externos, sabemos que é um cenário cada vez mais comum a  terceirização de desenvolvimento de software, que certamente trás para a empresa diversos  benefícios relacionados á agilidade e expertise profissional, porém também trás diversos riscos que não podem ser ignorados.

Os riscos relacionados à desenvolvimento de códigos não se restringem à terceiros, mas também ao desenvolvimento interno e não podem ser ignorados quando falamos de proteção de material confidencial ou propriedade intelectual.

Os textos dos capítulos 9.2.3- Gerenciamento de direitos de acesso privilegiados , 14 -Aquisição, desenvolvimento e manutenção de sistemas e 18.1.2 Direitos de Propriedade Intelectual, definem controles básicos que deveriam ser observados para controlar vazamentos de dados relacionados a desenvolvimento e códigos proprietários.

Por  Kleber Melo - Sócio Diretor e Consultor da MindSec Segurança e Tecnologia da Informação.

Veja também:

• Hackeada por 4 anos, rede Marriott compromete dados de 500Mi de clientes
• Aplicativo ‘Download your Data’ expõe senhas do Instagram na URL
• Após Austrália, Huawei é banida da Nova Zelândia
• Hackers eliminam mais de 6.500 sites na Darkweb
• A Ponte Que Partiu
• CrowdStrike expande presença internacional para atender à crescente demanda do cliente
• Falhas de criptografia SSD agravadas pelas configurações do BitLocker
• Botnet explora vulnerabilidade UPnP de routeadores domésticos
• Impressões digitais falsas podem imitar as reais em sistemas biométricos
• Sistema concede Créditos Sociais baseado no comportamento do indivíduo