Banco de dados com informações de clientes da iugu fica exposto na internet; Falha já foi corrigida, segunda a empresa

Um banco de dados com 1,7 terabytes de dados de clientes da empresa a pagamentos iugu ficou aberto na internet por por menos de um dia. A exposição foi descoberta pelo pesquisador Bob Diachenko e postado no Twitter. Segundo ele, detalhes como endereços de e-mail, telefones, endereços e notas fiscais ficaram acessíveis.

“Alertei a companhia imediatamente, o banco de dados foi tirado do ar em cerca de uma hora. Sem resposta”, escreveu ele. Em respota a um comentário perguntando sobre a existência de senhas no banco de dados, Diachenko disse que não analisou todos os arquivos.

Diachenko é especialista em encontrar bases de dados expostas na internet por falhas de configuração. Mais especificamente, bases que usam a tecnologia Elastic Search sem proteção de senha.

Em 2018, ele revelou a exposição de um banco de dados da Fiesp com mais de 51 milhões de dados pessoais como nome, endereço, data de nascimento, sexo, RG, CPF e telefone de moradores do Estado de São Paulo. As informações estavam em um banco de dados com 180 milhões de registros.

Em nota, a iugu disse que o problema foi detectado na manhã do dia 7 e que o banco de dados ficou exposto por cerca de duas horas. De acordo com a companhia, se tratava de um backup que compreendia 1% de seus dados. “Informamos que o problema com a vulnerabilidade foi resolvido prontamente e informações dos clientes, como login, senhas, cartão de crédito, informações transacionais não foram expostas”, disse Renato Ribeiro, presidente da companhia.

De acordo com ela, durante uma investigação interna, foi verificado que verificamos apenas um endereço IP teve acesso à vulnerabilidade.

Perguntado se a companhia comunicou a Agência Nacional de Proteção de Dados (ANPD) sobre o incidente, a companhia disse que está apurando o caso e todo o procedimento descrito na LGPD será cumprido, “bem como todos os outros informes a autoridades que reportam”. A comunicação da descoberta de falhas de segurança e exposição de dados por empresas passou a ser obrigatório com a vigência da Lei Geral de Proteção de Dados (LGPD).

O fundador e diretor de tecnologia da companhia, Patrick Negri, fez um texto em tom de desabafo no Medium para falar sobre o episódio. “Sim, seus dados estão seguros conosco e não houve vazamento. Se você é nosso cliente, não é preciso se preocupar com senhas e chaves de API, nem com dados de pagamento gerenciados por nós”, escreveu ele.

A iugu recebeu uma rodada de R$ 120 milhões liderado pelo braço de private equity do Goldman Sachs em setembro do ano passado. O aporte foi anunciado um mês depois de a fintech receber autorização do Banco Central para atuar como instituição de pagamento, aumento o portfólio de produtos e serviços que ela pode oferecer.