iugu expõe dados confidenciais de clientes

iugu expõe dados confidenciais de clientes. Uma grave brecha de segurança expôs as informações de todos os clientes da empresa de serviços financeiros iugu, que atua no Brasil por meio de sistemas de automação e gerenciamento financeiros. Os dados pessoais, bancários e de transações dos usuários ficaram disponíveis em um servidor desprotegido ao longo de, pelo menos, uma hora.

A iugu é uma fintech que atua no Brasil como plataforma de cobranças, ou seja, faz a intermediação de transações realizadas entre o estabelecimento vendedor e os consumidores, ficando responsável pelo processamento dos pagamentos. Ou seja, se o consumidor faz compras em uma loja virtual parceira, os dados da iugu é que aparecem na fatura do cartão de crédito.

Em um comunicado ao TecMundo, a iugu confirmou que “um dos seus bancos de dados de busca ficou exposto por aproximadamente duas horas e pode ter afetado cerca de 1% do nosso banco de dados de backup”. A empresa afirma que o problema foi resolvido e que as informações dos clientes não foram expostas.

“Informamos que o problema com a vulnerabilidade foi resolvido prontamente e informações dos clientes, como login, senhas, cartão de crédito, informações transacionais não foram expostas. Durante uma investigação interna, verificamos também que apenas um IP teve acesso a esta vulnerabilidade. Estamos averiguando se o incidente pode ter envolvido dados pessoais, e tomaremos todas as providências cabíveis a esse respeito”.

A descoberta é do especialista e consultor em segurança Bob Diachenko, que, pelo Twitter, revela um incidente bastante grave. De acordo com ele, a falha descoberta nesta quarta-feira, dia 7 de abril, envolve todos os clientes da iugu, em um total de 1,7 TB de dados que ficaram abertos a acesso público durante o período, podendo ser baixados por terceiros a partir de um servidor com proteções indevidamente configuradas.O descobridor da falha, Bob Diachenko, é especialista em inteligência de ameaças cibernéticas e redator do blog SecurityDiscovery.

Na quarta-feira, ele acessou os arquivos abertos, com dados de todos os clientes, onde estavam disponíveis as informações pessoais de clientes, como e-mails, nomes de usuário, números de telefone e endereços, além de registros de transações, documentos e outros detalhes financeiros. O especialista detectou dados sensíveis datados de 2013 a 2021 em diferentes pastas.

Indexadas pelo Shodan, conhecido como o buscador dos hackers, havia cerca de 1,7 TB de informações da empresa que, alertada por Diachenko, removeu a base de dados em uma hora, tempo em que poderiam ter sido baixados por terceiros a partir de um servidor com proteções maliciosamente configuradas.

Segundo Diachenko, o vazamento pode ter atingido todas as contas e clientes que utilizam os serviços financeiros da iugu. De acordo com informações disponíveis no site da plataforma, são mais de 50 mil empresas atendidas pela fintech, com mais de seis bilhões de transações registradas em 2019. Algumas pastas individuais, referentes a anos, chegam a conter quase 1 TB de dados, como é o caso do diretório de comprovantes, justamente, de dois anos atrás.

Uma segunda amostra das informações disponíveis exibe a gravidade do material que estava desprotegido nos servidores. Em um comprovante disponibilizado pelo especialista, com as informações sensíveis devidamente ofuscadas, está o registro do bloqueio de uma poupança, após sucessivas inserções de senha incorreta no que aparenta ser uma tentativa de saque. Aparecem no documento o banco, agência e conta do cliente, assim como saldo, data e hora em que o incidente foi registrado.

Qual o risco envolvido?

O maior temor, aqui, é quanto a tentativas de ataques envolvendo engenharia social e golpes financeiros, em caso de exposição a terceiros maliciosos. De posse do volume de informações detalhadas, bandidos podem criar desde sites e e-mails falsos, direcionados aos clientes da iugu, quanto realizarem contatos telefônicos ou por mensagens na tentativa de obter algum dinheiro. Existe, ainda, a possibilidade de extorsão a partir de detalhes como operações realizadas, movimentações de contas e montantes disponíveis.

A recomendação aos clientes é de atenção. Vale a pena ficar alerta a e-mails que cheguem em nome da iugu, bancos e outras empresas financeiras, bem como ligações, mensagens de texto e outras tentativas de contato com a mesma finalidade. Evite fornecer dados, preencher cadastros, baixar aplicativos e arquivos anexos e, principalmente, realizar transferências financeiras sem ter certeza absoluta de que a comunicação é legítima.

Fonte: CanalTech & Tecmundo

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Infection Monkey oferece avaliação Zero Trust para ambientes AWS

Deixe sua opinião!