Recentemente a Security Report publicou uma falha de segurança na plataforma de cobrança iugu, um incidente que veio à tona após a declaração de um especialista e consultor em segurança, Bob Diachenko. Ele revelou pelo Twitter que a brecha expôs dados sensíveis dos clientes da iugu.
Em entrevista exclusiva à Security Report, Patrick Negri, CTO da iugu, esclarece os fatos do caso.
Segundo o executivo, no dia 7 de abril, durante uma migração de um antigo serviço interno de busca, foi realizada uma configuração incorreta no sistema, o que acabou abrindo uma brecha de segurança, a mesma citada pelo especialista Bob Diachenko.
Negri ressalta que o serviço de busca em questão não é um banco de dados, trata-se de um ambiente em que os usuários da iugu acessam informações pertinentes para encontrar registros de uma forma mais fácil na plataforma da companhia.
Já os dados de clientes que são realmente sensíveis, incluindo o número de cartão de crédito, telefone e CPF, estão em outro banco com segurança mais rígida e que não estava envolvido no incidente. “Nenhuma dessas informações foram acessadas ou vazadas”, ressalta o executivo.
Ele explica que uma migração como essa pode levar semanas para ser concluída devido ao excesso de informações e caso não funcione do jeito esperado, o serviço acaba sendo desconectado. Foi o que aconteceu às 11h do dia 07 de abril, a essa altura, a migração para o novo sistema de busca estava em torno de 30%.
Bob Diachenko enviou um e-mail para a iugu por volta das 16h daquele dia relatando a descoberta e comentando que tinha conseguido fazer algumas consultas nesse banco em questão. “Após tomar ciência do alerta, encaminhei imediatamente o conteúdo para a equipe de TI para que fosse realizada uma análise para entender o que havia acontecido. Em paralelo, os responsáveis pelo setor jurídico, incluindo LGPD e as assessorias de incidentes e imprensa, foram acionadas para o caso”, comenta Negri.
Equipe em ação
Para lidar com essas situações, a iugu tem uma equipe de infraestrutura responsável pela Segurança da Informação, incluindo profissionais de tecnologia que montam squads para auxiliar em casos desta natureza, o jurídico que entra em ação para tratar de assunto ligados à LGPD e a área de marketing que trabalha junto às assessorias de imprensa, além de uma assessoria totalmente especializada em incidentes.
Patrick Negri ainda considerou como fundamental a agilidade e desempenho de todo o time para uma rápida solução para o problema. Para o executivo, o impacto desta vulnerabilidade em um primeiro momento foi a perda de confiança na marca, mas considerou que a transparência exercida desde o início foi fundamental para reverter o cenário.
“Em um primeiro momento, se nada fosse feito, seria um impacto bem maior, o incidente acabou sendo algo negativo no primeiro momento, mas que depois acabou se tornando uma alavanca de fortalecimento para a marca. Além disso, houve um impacto com clientes que estavam preocupados, mas mandamos e respondemos os formulários de LGPD que estavam chegando e considero hoje que a situação está normalizada”, comenta CTO na iugu.
Lições aprendidas
Após o susto, o CTO da compartilha acredita que é fundamental estar de olho em tudo que diz respeito à Segurança da Informação para a construção de procedimentos que permitam tornar as operações cada vez mais seguras, com agilidade na resposta ao incidente.
“Além disso, entendemos também que a tecnologia pode ser uma grande aliada no processo de monitoramento”, finaliza Patrick Negri.
