O problema já foi corrigido, mas ainda não se sabe ao certo quantas pessoas tiveram suas informações comprometidas.

Às 10:20 da manhã (horário de Brasília) de quinta-feira 08 de abril de 2021, o especialista em segurança digital Bob Diachenko publicou um tweet alertando a empresa fintech Brasileira IUGU sobre a exposição de dados de todos os seus clientes.

Na mensagem em seu twitter, Bob Diachenko explica:

Alerta de violação: em 7 de abril, o fintech IUGU expôs todo o seu banco de dados, incl. TODOS os detalhes da conta dos clientes: e-mails, telefones, endereços, faturas etc. IP com 1.7TB indexado pelo Shodan, alertei imediatamente a empresa, db foi retirado em uma hora. Sem resposta.

Ao todo, estavam expostos mais de 1,7 terabytes (TB) de dados como nome, e-mail, telefones, endereços, faturas, CPF etc. de milhões de clientes e pessoas que foram cobradas por seus clientes. No tweet, Diachenko, explica que os dados foram indexados ao Shodan, um buscador extremamente eficaz, apontado por alguns especialistas como o buscador mais perigosos do mundo, capaz de achar dados escondidos nos mecanismos dos sites, através de brechas exploradas, que outros mecanismos de busca como o Google, Bing e Yahoo não indexam.

Ainda segundo o tweet, os dados estavam expostos desde 07 de abril. Após o alerta a empresa corrigiu a falha em aproximadamente uma hora, sem responder às mensagens de alerta.

A Iugu é uma fintech que começou como uma facilitadora, viabilizando a emissão de boletos por empresas pequenas, com pouco faturamento que tinham dificuldade em conseguir esse serviço com instituições bancárias. Com muito menos burocracia que os bancos, caiu nas graças dos micros e pequenos empresários. Hoje a fintech oferece soluções completas para gestão financeira das empresas.

Até agora a empresa não se pronunciou sobre o vazamento e não foram revelados mais detalhes sobre os dados vazados, mas a julgar pelo tamanho do arquivo disponível, é possível que tenham vazado não apenas os dados de seus clientes, como também os dados dos clientes de seus clientes, na prática, os dados de todas as pessoas que já receberam um boleto emitido pelo sistema da IUGU.

Lei geral de proteção de dados:

O vazamento ocorre apenas 7 meses após passar a vigora a Lei Geral de Proteção de Dados (lei nº 13.709/2018) que prevê responsabilização e punição das empresas que permitirem vazamentos desse tipo. Segundo o art. 65 da LGPD, a lei que já era para estar em vigor após 18 meses de sua publicação (14 de fevereiro 2020) , teve sua aplicação adiada por conta da lei nº 14.010, de 10 de junho de 2020, que dispõe sobre um regime jurídico especial para empresas durante a pandemia de covid-19 prevê, em seu art. 20, que a lei passe a vigorar, e punir as empresas que descumpri-la somente a partir de 21 de agosto de 2021.

Quando a LGPD estiver em vigor, empresas que, assim como a IUGU, permitirem o vazamento de dados, ou desrespeitarem outras disposições sobre o sigilo de seus clientes, poderão ser multadas em até 2% de seu faturamento, até o limite de R$ 50 milhões.

Leia Dossiê. Informação precisa com independência e responsabilidade.