CTO da iugu comenta incidente sofrido e nega vazamento de dados

Em entrevista exclusiva à Security Report, Patrick Negri explica que a agilidade da equipe de segurança foi fundamental para uma rápida solução da vulnerabilidade e destaca que nenhum dado de clientes foi exposto pelo incidente

Compartilhar:

Recentemente a Security Report publicou uma falha de segurança na plataforma de cobrança iugu, um incidente que veio à tona após a declaração de um especialista e consultor em segurança, Bob Diachenko. Ele revelou pelo Twitter que a brecha expôs dados sensíveis dos clientes da iugu.

 

Em entrevista exclusiva à Security Report, Patrick Negri, CTO da iugu, esclarece os fatos do caso.

 

 

 

Segundo o executivo, no dia 7 de abril, durante uma migração de um antigo serviço interno de busca, foi realizada uma configuração incorreta no sistema, o que acabou abrindo uma brecha de segurança, a mesma citada pelo especialista Bob Diachenko.

 

 

 

 

Negri ressalta que o serviço de busca em questão não é um banco de dados, trata-se de um ambiente em que os usuários da iugu acessam informações pertinentes para encontrar registros de uma forma mais fácil na plataforma da companhia.

 

Já os dados de clientes que são realmente sensíveis, incluindo o número de cartão de crédito, telefone e CPF, estão em outro banco com segurança mais rígida e que não estava envolvido no incidente. “Nenhuma dessas informações foram acessadas ou vazadas”, ressalta o executivo.

 

Ele explica que uma migração como essa pode levar semanas para ser concluída devido ao excesso de informações e caso não funcione do jeito esperado, o serviço acaba sendo desconectado. Foi o que aconteceu às 11h do dia 07 de abril, a essa altura, a migração para o novo sistema de busca estava em torno de 30%.

 

Bob Diachenko enviou um e-mail para a iugu por volta das 16h daquele dia relatando a descoberta e comentando que tinha conseguido fazer algumas consultas nesse banco em questão. “Após tomar ciência do alerta, encaminhei imediatamente o conteúdo para a equipe de TI para que fosse realizada uma análise para entender o que havia acontecido. Em paralelo, os responsáveis pelo setor jurídico, incluindo LGPD e as assessorias de incidentes e imprensa, foram acionadas para o caso”, comenta Negri.

 

Equipe em ação

 

Para lidar com essas situações, a iugu tem uma equipe de infraestrutura responsável pela Segurança da Informação, incluindo profissionais de tecnologia que montam squads para auxiliar em casos desta natureza, o jurídico que entra em ação para tratar de assunto ligados à LGPD e a área de marketing que trabalha junto às assessorias de imprensa, além de uma assessoria totalmente especializada em incidentes.

 

Patrick Negri ainda considerou como fundamental a agilidade e desempenho de todo o time para uma rápida solução para o problema. Para o executivo, o impacto desta vulnerabilidade em um primeiro momento foi a perda de confiança na marca, mas considerou que a transparência exercida desde o início foi fundamental para reverter o cenário.

 

“Em um primeiro momento, se nada fosse feito, seria um impacto bem maior, o incidente acabou sendo algo negativo no primeiro momento, mas que depois acabou se tornando uma alavanca de fortalecimento para a marca. Além disso, houve um impacto com clientes que estavam preocupados, mas mandamos e respondemos os formulários de LGPD que estavam chegando e considero hoje que a situação está normalizada”, comenta CTO na iugu.

 

Lições aprendidas

 

Após o susto, o CTO da compartilha acredita que é fundamental estar de olho em tudo que diz respeito à Segurança da Informação para a construção de procedimentos que permitam tornar as operações cada vez mais seguras, com agilidade na resposta ao incidente.

 

“Além disso, entendemos também que a tecnologia pode ser uma grande aliada no processo de monitoramento”, finaliza Patrick Negri.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

“Não basta proteger sistemas, temos que garantir serviços digitais com segurança ao cidadão”, diz Prodeb

Durante o Security Leaders Fortaleza 2025, a Companhia de Processamento de Dados do Estado da Bahia (Prodeb) apresentou seu novo...
Security Report | Destaques

É AMANHÃ! Security Leaders Fortaleza debaterá proteção de Ecossistemas e de Infra crítica

A capital cearense receberá a última edição regional do maior e mais qualificado evento de Cibersegurança do Brasil, antes de...
Security Report | Destaques

Banco Triângulo é impactado por incidente de Segurança digital

Caso foi apontado de início por novo alerta emitido pelo Banco Central nesse fim de semana, e confirmado em seguida...
Security Report | Destaques

Banco Central aponta novo incidente cibernético em financeira não autorizada

Em nota divulgada no último fim de semana à vertical de bancos, o Bacen alertou para a subtração indevida de...