CTO da iugu comenta incidente sofrido e nega vazamento de dados

Em entrevista exclusiva à Security Report, Patrick Negri explica que a agilidade da equipe de segurança foi fundamental para uma rápida solução da vulnerabilidade e destaca que nenhum dado de clientes foi exposto pelo incidente

Compartilhar:

Recentemente a Security Report publicou uma falha de segurança na plataforma de cobrança iugu, um incidente que veio à tona após a declaração de um especialista e consultor em segurança, Bob Diachenko. Ele revelou pelo Twitter que a brecha expôs dados sensíveis dos clientes da iugu.

 

Em entrevista exclusiva à Security Report, Patrick Negri, CTO da iugu, esclarece os fatos do caso.

 

 

 

Segundo o executivo, no dia 7 de abril, durante uma migração de um antigo serviço interno de busca, foi realizada uma configuração incorreta no sistema, o que acabou abrindo uma brecha de segurança, a mesma citada pelo especialista Bob Diachenko.

 

 

 

 

Negri ressalta que o serviço de busca em questão não é um banco de dados, trata-se de um ambiente em que os usuários da iugu acessam informações pertinentes para encontrar registros de uma forma mais fácil na plataforma da companhia.

 

Já os dados de clientes que são realmente sensíveis, incluindo o número de cartão de crédito, telefone e CPF, estão em outro banco com segurança mais rígida e que não estava envolvido no incidente. “Nenhuma dessas informações foram acessadas ou vazadas”, ressalta o executivo.

 

Ele explica que uma migração como essa pode levar semanas para ser concluída devido ao excesso de informações e caso não funcione do jeito esperado, o serviço acaba sendo desconectado. Foi o que aconteceu às 11h do dia 07 de abril, a essa altura, a migração para o novo sistema de busca estava em torno de 30%.

 

Bob Diachenko enviou um e-mail para a iugu por volta das 16h daquele dia relatando a descoberta e comentando que tinha conseguido fazer algumas consultas nesse banco em questão. “Após tomar ciência do alerta, encaminhei imediatamente o conteúdo para a equipe de TI para que fosse realizada uma análise para entender o que havia acontecido. Em paralelo, os responsáveis pelo setor jurídico, incluindo LGPD e as assessorias de incidentes e imprensa, foram acionadas para o caso”, comenta Negri.

 

Equipe em ação

 

Para lidar com essas situações, a iugu tem uma equipe de infraestrutura responsável pela Segurança da Informação, incluindo profissionais de tecnologia que montam squads para auxiliar em casos desta natureza, o jurídico que entra em ação para tratar de assunto ligados à LGPD e a área de marketing que trabalha junto às assessorias de imprensa, além de uma assessoria totalmente especializada em incidentes.

 

Patrick Negri ainda considerou como fundamental a agilidade e desempenho de todo o time para uma rápida solução para o problema. Para o executivo, o impacto desta vulnerabilidade em um primeiro momento foi a perda de confiança na marca, mas considerou que a transparência exercida desde o início foi fundamental para reverter o cenário.

 

“Em um primeiro momento, se nada fosse feito, seria um impacto bem maior, o incidente acabou sendo algo negativo no primeiro momento, mas que depois acabou se tornando uma alavanca de fortalecimento para a marca. Além disso, houve um impacto com clientes que estavam preocupados, mas mandamos e respondemos os formulários de LGPD que estavam chegando e considero hoje que a situação está normalizada”, comenta CTO na iugu.

 

Lições aprendidas

 

Após o susto, o CTO da compartilha acredita que é fundamental estar de olho em tudo que diz respeito à Segurança da Informação para a construção de procedimentos que permitam tornar as operações cada vez mais seguras, com agilidade na resposta ao incidente.

 

“Além disso, entendemos também que a tecnologia pode ser uma grande aliada no processo de monitoramento”, finaliza Patrick Negri.

 

Conteúdos Relacionados

Security Report | Destaques

Prefeitura de Guajará-Mirim sofre invasão cibernética

Em nota, o executivo municipal confirmou que dados foram sequestrados pelo ataque, mas não comprovou a ação de um ransomware,...
Security Report | Destaques

Líderes de Cyber analisam novas ameaças à Segurança no Security Leaders Nacional

O Fórum Econômico Mundial alertou o mundo para as ameaças que a insegurança cibernética pode representar para a continuidade de...
Security Report | Destaques

Programa de SI busca elevar maturidade cibernética nos órgãos do governo federal

Devido às novas responsabilidades que o Brasil assumiu com a Segurança Cibernética, a Secretaria de Governo Digital estabeleceu um programa...
Security Report | Destaques

Ameaça ou copiloto: Qual o papel da IA no futuro da Cibersegurança?

Tanto empresas de consultoria quanto a indústria de Segurança da Informação têm buscado entender como alcançar o equilíbrio entre usos...