Hacker tenta vender dados que teriam sido roubados da Lendico Brasil

Um hacker está oferecendo na dark web dados que teriam sido roubados da fintech de empréstimos Lendico no Brasil.

O pacote inclui mais de 1,6 milhão de e-mails e senhas não criptografadas; mais de 6 milhões de dados sobre clientes como endereço, renda, contato, formação acadêmica, histórico de crédito, entre outras; 30 bancos de dados que somam 60 gigabytes (GB) e 330 GB de documentos (provavelmente no formato de imagens, por isso o tamanho). Os dados oferecidos vão do início da operação da companhia no Brasil, em 2015, até junho de 2020.

A postagem foi feita no dia 9 de setembro e dizia que as informações ainda não tinham sido vendidas para ninguém. “Estou em busca de alguém que realmente queira tirar proveito disso e de vender para uma pessoa apenas”, escreveu o hacker. A informação foi postada no Twitter no perfil Bank Security, que fala sobre segurança relacionada ao sistema financeiro ao redor do mundo.

Procurada a Lendico não comentou se os dados seriam verdadeiros ou não.

No começo do mês a companhia comunicou seus clientes que tinha sido alvo de um ataque hacker. a informação foi divulgada inicialmente pelo site Canaltech.

“As investigações realizadas indicam que os invasores provavelmente tiveram acesso não autorizado a informações dos usuários da plataforma da empresa (incluindo dados pessoais, tais como nome, CPF, data de nascimento, e-mail, endereço postal, número telefônico, renda, documento de identificação, informações bancárias ou foto)”, informou a companhia.

No comunicado a Lendico dia que “sempre atuou de acordo com os mais altos padrões internacionais de segurança” e que assim que a ação foi detectada adotou medidas para reforçar ainda mais a segurança e evitar novos ataques.

A primeira atitude foi suspender o funcionamento de sua plataforma por alguns dias. Também contratou “uma renomada empresa especializada em análise forense de sistemas e segurança da informação” e técnicos de cibersegurança para apurar o caso e consertar eventuais danos. A empresa também adicionou novas camadas de criptografia e sistemas de proteção. “O sistema já foi restabelecido e a Lendico já entrou em contato com seus clientes para informá-los sobre o fato. Todas as dúvidas estão sendo sanadas por meio de seus canais de atendimento. A Lendico reforça que todas as medidas cabíveis a essa investigação já estão sendo tomadas e que manterá seus clientes e parceiros informados”.

Pela Lei Geral de Proteção de Dados (LGPD), casos como o da Lendico precisam ser informados à Agência Nacional de Proteção de Dados (ANPD) e a empresa está sujeita a advertências a multas, que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões. O texto da LGPD foi aprovado no Congresso no fim de agosto e aguarda sanção do presidente Jair Bolsonaro. A expectativa é que isso aconteça até o fim desta semana.