IUGU – Fintech brasileira expõe 1,7 TB de dados de clientes.

A fintech brasileira, fundada em 2011, do segmento de automação e gerenciamento financeiro, que recebeu do banco norte-americano Goldman Sachs, em setembro passado, aporte de R$120 milhões em rodada de investimento, expôs informações de clientes por falha na segurança, devido a configurações irregulares em seu servidor.

Uma brecha de segurança fez com que vazasse 1TB de dados pessoais e confidenciais. Os dados pessoais e bancários relativos às transações financeiras ficaram disponíveis em um servidor desprotegido por cerca de duas horas.

O incidente foi descoberto pelo especialista em segurança da informação Bob Diachenko, que através de sua conta no Twitter, informou ser um incidente gravíssimo, já que os dados ficaram abertos ao público podendo ser baixados por pessoas não autorizadas.

Além dos nomes, e-mails, números de telefones e endereços, também foram expostos registros de transações e outros detalhes financeiros. De acordo com Diachenko, os dados vazados são de 2013 a 2021, de diversas pastas de contas, comprovantes e assinaturas, e pode ter atingido todos os clientes da fintech.

A IUGU confirmou o vazamento, mas afirmou que somente 1% das informações disponíveis em backup foram atingidas. Disse que o problema foi solucionado e as informações pessoais e transacionais dos clientes não foram expostas, uma vez que apenas um único número de IP teve acesso (tudo leva a crer ter sido o IP do especialista Diachenko).

Dica: cuidado com o recebimento de e-mails em nome da fintech ou outras instituições financeiras, telefonemas, sms. Não informe seus dados, não baixe aplicativos se não estiverem nas lojas oficiais de aplicativos e não realize transferências bancárias sem a certeza que o remetente é legítimo.

A problem was detected in the following Form. Submitting it could result in errors. Please contact the site administrator.

POLÍTICA DE DADOS PESSOAIS EM INSCRIÇÕES PARA PROCESSOS SELETIVOS (ATUAIS E FUTUROS) DE COLABORADORES

Obrigado pelo interesse em fazer parte do time FVA!

A finalidade específica das inscrições que recebemos aqui é apenas para processos seletivos de vagas, empregando tecnologia para proteção dos dados pessoais, em conformidade com aLei Geral de Proteção de Dados, nº 13.709/18.

Em caso de sua participação em processo seletivo, poderemos pedir versão completa e atual de seu currículo, bem como poderá ser certificada a veracidade dos dados informados, sendo acessíveis pelos responsáveis pelo processo seletivo, após passar por nossa triagem. Ainda, o currículo a nós enviado poderá ser compartilhado, a pedido de escritórios parceiros, ou empresas, a título de cooperação e indicação.

Ainda, ao se inscrever aqui, você está esclarecido e de acordo com nossas práticas de checagem ética e reputacional, a serem implementadas caso participe de algum processo seletivo, conforme previstas em nosso Código de Conduta.

Ainda, pessoas serão previamente esclarecidas dos propósitos e deste procedimento, alertando que, em caso de submeterem a um processo seletivo, elas serão submetidas a ele.

Envie-nos apenas informações necessárias, sem divulgar dados sensíveis, tais como de saúde, origem racial ou étnica ou posições políticas.

Os dados sensíveis que forem detectados serão excluídos imediatamente.

Seu currículo será mantido em nossa base de dados por até 3 (três) meses a partir do recebimento, sendo automaticamente eliminado posteriormente. Ainda, eliminação do currículo também poderá ocorrer por solicitação do titular dos dados pessoais, ao email relacionamento@fva.adv.br.