CTO da iugu comenta incidente sofrido e nega vazamento de dados

Em entrevista exclusiva à Security Report, Patrick Negri explica que a agilidade da equipe de segurança foi fundamental para uma rápida solução da vulnerabilidade e destaca que nenhum dado de clientes foi exposto pelo incidente

Compartilhar:

Recentemente a Security Report publicou uma falha de segurança na plataforma de cobrança iugu, um incidente que veio à tona após a declaração de um especialista e consultor em segurança, Bob Diachenko. Ele revelou pelo Twitter que a brecha expôs dados sensíveis dos clientes da iugu.

 

Em entrevista exclusiva à Security Report, Patrick Negri, CTO da iugu, esclarece os fatos do caso.

 

 

 

Segundo o executivo, no dia 7 de abril, durante uma migração de um antigo serviço interno de busca, foi realizada uma configuração incorreta no sistema, o que acabou abrindo uma brecha de segurança, a mesma citada pelo especialista Bob Diachenko.

 

 

 

 

Negri ressalta que o serviço de busca em questão não é um banco de dados, trata-se de um ambiente em que os usuários da iugu acessam informações pertinentes para encontrar registros de uma forma mais fácil na plataforma da companhia.

 

Já os dados de clientes que são realmente sensíveis, incluindo o número de cartão de crédito, telefone e CPF, estão em outro banco com segurança mais rígida e que não estava envolvido no incidente. “Nenhuma dessas informações foram acessadas ou vazadas”, ressalta o executivo.

 

Ele explica que uma migração como essa pode levar semanas para ser concluída devido ao excesso de informações e caso não funcione do jeito esperado, o serviço acaba sendo desconectado. Foi o que aconteceu às 11h do dia 07 de abril, a essa altura, a migração para o novo sistema de busca estava em torno de 30%.

 

Bob Diachenko enviou um e-mail para a iugu por volta das 16h daquele dia relatando a descoberta e comentando que tinha conseguido fazer algumas consultas nesse banco em questão. “Após tomar ciência do alerta, encaminhei imediatamente o conteúdo para a equipe de TI para que fosse realizada uma análise para entender o que havia acontecido. Em paralelo, os responsáveis pelo setor jurídico, incluindo LGPD e as assessorias de incidentes e imprensa, foram acionadas para o caso”, comenta Negri.

 

Equipe em ação

 

Para lidar com essas situações, a iugu tem uma equipe de infraestrutura responsável pela Segurança da Informação, incluindo profissionais de tecnologia que montam squads para auxiliar em casos desta natureza, o jurídico que entra em ação para tratar de assunto ligados à LGPD e a área de marketing que trabalha junto às assessorias de imprensa, além de uma assessoria totalmente especializada em incidentes.

 

Patrick Negri ainda considerou como fundamental a agilidade e desempenho de todo o time para uma rápida solução para o problema. Para o executivo, o impacto desta vulnerabilidade em um primeiro momento foi a perda de confiança na marca, mas considerou que a transparência exercida desde o início foi fundamental para reverter o cenário.

 

“Em um primeiro momento, se nada fosse feito, seria um impacto bem maior, o incidente acabou sendo algo negativo no primeiro momento, mas que depois acabou se tornando uma alavanca de fortalecimento para a marca. Além disso, houve um impacto com clientes que estavam preocupados, mas mandamos e respondemos os formulários de LGPD que estavam chegando e considero hoje que a situação está normalizada”, comenta CTO na iugu.

 

Lições aprendidas

 

Após o susto, o CTO da compartilha acredita que é fundamental estar de olho em tudo que diz respeito à Segurança da Informação para a construção de procedimentos que permitam tornar as operações cada vez mais seguras, com agilidade na resposta ao incidente.

 

“Além disso, entendemos também que a tecnologia pode ser uma grande aliada no processo de monitoramento”, finaliza Patrick Negri.

 

Conteúdos Relacionados

Security Report | Destaques

Ataques de ransomware crescem 51% na América Latina, alerta relatório

Seguindo tendência contrária a outras regiões do mundo, o cenário de ataques expandiu-se na região, movido especialmente por maior cooperação...
Security Report | Destaques

84% dos Líderes de SI relatam o estresse como ameaça à proteção de dados e sistemas

Além disso, o mesmo percentual afirma ouvir de suas organizações que o esgotamento é parte natural dos profissionais de Segurança...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo o Ministério da Gestão e Inovação, a Universidade Federal do Amapá,...
Security Report | Destaques

Centro de estudos do SENAI CIMATEC quer posicionar Brasil no mapa da SI Quântica

O espaço acadêmico tem recebido investimentos da Embrapii e apoio da comunidade de TI, Segurança e inovação para avançar nos...