Mais empresas brasileiras vieram a público informar que tinham negócios com o Evolve Bank & Trust, instituição financeira que sofreu um ataque hacker no final de junho e teve dados pessoais de clientes vazados, tanto da própria companhia como de seus parceiros.
Além da fintech Nomad, a corretora de investimentos Avenue e a conta internacional Wise soltaram nota para alertar seus clientes do potencial vazamento de dados pessoais.
Leia mais: Clientes da Nomad têm dados pessoais vazados por hackers da Rússia
Ao longo do mês de junho, o grupo hacker de origem russa LockBit roubou 33 terabytes de dados do banco Evolve Bank & Trust, em uma ação que afetou informações de mais de 150 mil contas ligadas a vários parceiros da empresa, entre elas companhias importantes do mercado brasileiro.
O executivo Jason Mikula, autor da newsletter Fintech Business Weekly, confirmou que teve acesso a uma parte dos documentos vazados e que, nesse trecho que analisou, estavam as informações pessoais (nome, endereço, e-mail, números de documento) dos clientes da Nomad, fintech com 1,8 milhão de clientes brasileiros.
Em sua análise, ele não cita especificamente a Avenue e a Wise, mas as empresas publicaram notas confirmando a relação com o banco alvo do ataque.
O vazamento tem proporções épicas: os 33 terabytes equivalem a 2,8 bilhões de páginas de texto. Uma fonte da indústria que estava analisando os dados para fins de mitigação de risco disse ao Fintech Business Weekly: “Não consigo pensar em uma violação de dados com tanta PII (Informações Pessoais Identificáveis, na sigla em inglês) e dados financeiros de consumidores e comerciais, que depois se tornam publicamente disponíveis. Nunca.”
Wise admite possível vazamento de informações pessoais
A Wise, empresa que fornece cartões internacionais, publicou uma nota em inglês ainda no dia 28 de junho informando ser parceira do banco Evolve e admitindo que “algumas informações pessoais de clientes da Wise podem ter sido envolvidas” no ataque.
A empresa disse que irá enviar e-mail diretamente a todos os clientes da Wise que acredita terem sido afetados por essa violação de dados.
De origem inglesa, a Wise tem 16 milhões de clientes ao redor do mundo. No Brasil desde 2021, já emitiu um milhão de cartões no mercado nacional.
Avenue analisa abrangência do vazamento
Em nota publicada na terça-feira (2), a Avenue afirmou que ainda está avaliando a extensão do vazamento e os potenciais riscos aos dados sensíveis de seus clientes.
A empresa disse que o “ambiente afetado pelo evento é de propriedade do Evolve Bank & Trust e é totalmente apartado da infraestrutura da Avenue Cash. Portanto, os nossos serviços bancários, nossa plataforma e suas credenciais de acesso estão íntegras e seguras e podem continuar sendo utilizadas normalmente”.
A empresa afirmou que a relação com o banco afeta apenas os serviços de conta internacional e não as áreas de investimento e câmbio. A corretora disse que está conduzindo uma análise independente com base nas informações disponíveis e pretende antecipar ações que sejam necessárias.
A nota da Avenue foi divulgada dias após o vazamento, que já estava sendo discutido em sites especializados do setor de fintech dos Estados Unidos. A empresa conta com 700 mil clientes brasileiros.
Hackers russos assumem autoria do ataque
O grupo criminoso russo chamado LockBit, que é especialista em ataques de ransomware, assumiu a autoria do ataque. Os hackers vazaram as informações roubadas no dia 26 de junho, após o banco não ter pago pelo resgate exigido.
Desde então, diversos especialistas estão investigando quais dados foram divulgados. Análises prévias já afirmam que informações de clientes como nome, endereço, e-mail, data de nascimento, informações fiscais e números de social security (CPF dos Estados Unidos) foram expostas.
Antes desse caso ocorrer, o Federal Reserve, Banco Central dos EUA, sancionou o banco Evolve justamente citando práticas inadequadas para lidar com informações dos clientes.
“Dentro de 60 dias da data efetiva desta Ordem, o Banco deve apresentar um plano por escrito, aceitável pelos Supervisores, incluindo cronogramas, para corrigir as deficiências de tecnologia da informação e segurança da informação identificadas nos Relatórios de Exame”, determinou o FED.
- Quer fazer uma denúncia? Envie um e-mail para denuncia@prod.portaldobitcoin.com