Fintech

A Checkout.com, processadora de pagamentos, revelou um vazamento significativo de dados após um ataque direcionado do grupo cibercriminoso ShinyHunters. O incidente levantou preocupações imediatas no setor fintech, mas a resposta rápida da empresa e sua comunicação transparente trouxeram alguma tranquilidade para seus parceiros comerciais e clientes. O ataque ocorreu devido à exploração de um sistema de armazenamento em nuvem legado, que estava acessível desde 2020 e continha registros internos sensíveis e informações de integração de comerciantes. A investigação da Checkout.com indicou que cerca de 25% de sua base atual de comerciantes poderia ser afetada. Apesar da demanda de resgate feita pelos criminosos, a empresa se recusou a pagar e, em vez disso, decidiu doar um valor equivalente para iniciativas de pesquisa em cibersegurança em instituições renomadas, como a Universidade Carnegie Mellon e o Centro de Cibersegurança da Universidade de Oxford. Este incidente destaca a vulnerabilidade representada por sistemas legados e a importância de uma gestão de infraestrutura abrangente. A Checkout.com se comprometeu a fortalecer sua postura de segurança e a apoiar os comerciantes afetados, mantendo canais de comunicação abertos para quaisquer preocupações.

No último domingo (19), a fintech brasileira FictorPay sofreu um ciberataque que resultou no desvio de R$ 26 milhões de seus clientes. O ataque foi possível devido a um vazamento de credenciais da empresa de software Dilleta Solutions, que confirmou a invasão e está colaborando com as autoridades para investigar o caso. Os hackers realizaram 282 transferências via Pix para 271 contas laranjas, utilizando um modelo de operação que não respeitava os limites de transações impostos pelo Banco Central (BC). Embora a FictorPay não tenha seus sistemas diretamente comprometidos, a situação levantou preocupações sobre a segurança do sistema Pix, especialmente em relação a limites de transações. O BC já havia imposto um limite de R$ 15 mil para transações de instituições não autorizadas, e agora considera estender essa limitação para instituições autorizadas, dada a gravidade do incidente. O ataque também afetou outros parceiros da Dilleta, totalizando um desvio de até R$ 40 milhões. A Celcoin, que integra a FictorPay ao sistema Pix, negou invasões diretas em seus sistemas, mas foi alertada sobre movimentações atípicas pelo BC.