A XP Investimentos disparou na manhã desta quinta-feira (24) um alerta aos clientes sobre um ataque cibernético. De acordo com a empresa, uma base de dados hospedada em fornecedor externo sofreu um acesso não-autorizado e, consequentemente, um vazamento de dados.
“Em 22/03/25, tomamos conhecimento de que uma base de dados que se encontrava hospedada em um fornecedor externo da XP teve um acesso não autorizado”, diz a XP em email disparado. “Imediatamente efetivamos o bloqueio deste acesso. Sua conta e seus investimentos estão em total segurança, pois nenhum sistema da XP foi acessado. A utilização dos nossos aplicativos e sites pode continuar sendo realizada normalmente e não é necessário alterar sua senha”.
A XP Investimentos afirma que, assim que tiveram conhecimento dos fatos, iniciaram uma investigação para conhecer a extensão do ataque. As autoridades competentes foram informadas.
O que foi acessado por cibercriminosos
Clientes da XP investimentos tiveram os seguintes dados acessados por cibercriminosos:
- Dados cadastrais: nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
- Dados XP: o número da conta na XP, saldo, posição, nome do assessor e limite de crédito, referentes ao mês de março
No comunicação, a empresa reforça: “Atuamos preventivamente para garantir a segurança e a integridade de dados. Assim que tivemos conhecimento dos fatos, iniciamos uma investigação em detalhe de forma a conhecer sua extensão e informamos imediatamente às autoridades competentes (…) Suas informações pessoais não estão sendo compartilhadas ou divulgadas de forma pública. Portanto, não é necessária nenhuma ação por sua parte”.
O que a XP reforça sobre o vazamento
Por três vezes ao longo do comunicado, a XP Investimentos reforça que o acesso indevido foi “prontamente interrompido”. Além disso, que “sua conta está segura, nenhum sistema da XP foi acessado e não é necessária nenhuma ação por sua parte”.
Felizmente, a XP Investimentos toma um caminho de transparência sobre um ataque cibernético. Empresas atacadas são vítimas, como também seus clientes afetados, a revelação de forma transparente favorece o cenário de cibersegurança no Brasil, aumenta a discussão e reforça a necessidade de autoridades e governos ficarem com os olhos abertos ao tema.
Ainda existem algumas questões, que o TecMundo já levou ao conhecimento da XP, sobre a extensão do ataque e como o acesso não-autorizado ocorreu e foi identificado. Os pontos são necessários para entender de fato se os dados citados acima foram recolhidos pelo acesso cibercriminoso. Caso exista credential stuffing, por exemplo, o acesso tinha como meta a obtenção dos dados.
E se meus dados vazarem?
A conta da XP Investimentos está segura, mas um ponto ainda não está claro: o que aconteceu com os dados visualizados? Eles foram recolhidos?
Dados cadastrais e diretos, como citados anteriormente, abrem espaço para diferentes tipos de golpes. Entre eles, estão:
- Phishing direcionado: golpistas “lançam uma isca certeira” por meio de e-mails, sites ou links falsos enviados por SMS ou WhatsApp para enganar usuários e roubar informações sensíveis, como senhas, dados bancários, números de cartões de crédito ou até dinheiro
- Vishing: é o phishing por voz: o criminoso realiza ligações telefônicas para enganar a vítima e roubar informações pessoais, sensíveis ou bancárias. As ligações podem ser feitas via simulação, com o criminoso se passando por um atendente de banco, por exemplo, ou com programas de inteligência artificial para simulação do timbre de conhecidos
Para mais informações sobre cibersegurança, acompanhe nossa página dedicada no TecMundo!
Fonte: TecMundo
