Motherboard

​Cracker vaza dados de 30 mil clientes da maior corretora do Brasil

Clientes da XP Investimentos tiveram nome, RG, CPF, CNH, e-mail e telefones expostos.

por Marina Lang
24 Janeiro 2017, 7:28pm

Crédito: Domínio Público

Mais de 29 mil clientes da XP Investimentos tiveram nome, RG, CPF, CNH, e-mail e telefones expostos na semana passada. Os arquivos, aos quais o Motherboard teve acesso, tiveram seus links expirados na internet nesta terça-feira (24).

Sob pseudônimo de Edward Lorenz (nome do meteorologista que elaborou da Teoria do Caos), o cracker responsável pelo ataque divulgou um e-mail de ameaça a todos os clientes de uma das maiores corretoras do país. Afirmou que tentou negociar a interrupção do vazamento desses dados com o CEO da empresa, Guilherme Benchimol, mas foi ignorado pela XP.

Em carta endereçada a Benchimol, ele afirmou que os dados foram roubados entre os anos 2013 e 2014. Também exigia o pagamento de R$ 22,5 milhões pelos dados.

No vazamento, constam ainda documentos como uma ficha cadastral escaneada com a assinatura de um consumidor. Há, também, duas extensas planilhas com listas de milhares de investidores da XP.

Em outro e-mail endereçado aos clientes – ao qual a reportagem também teve acesso – ele ameaça que vai confeccionar carteiras de motoristas, RG e CPFs a partir dos dados ou cópia escaneada dos documentos para praticar uma série de fraudes. Numa segunda etapa, o cracker descreve que clonaria chips de celulares e roubaria valores do fundo de investimento das pessoas. Em seguida, repassa um meio de contato para depósito de 1 bitcoin (aproximadamente R$ 3 mil) a fim de evitar que esses crimes ocorressem.

"O maior problema é que senti que a XP parece estar tentando abafar o caso em vez de abrir o jogo com os consumidores"

A reportagem tentou entrar em contato com dez nomes da lista. Somente um atendeu o telefone. Apesar do nome corresponder ao contato, a pessoa disse não saber se é cliente da corretora e que tal informação dependia de seu contador.

Até ontem, a XP negava aos clientes que tal vazamento teria ocorrido e recomendava que eles não acessassem os links enviados pelo cracker. No entanto, fontes consultadas pela reportagem obtiveram os dados.

"O maior problema é que senti que a XP parece estar tentando abafar o caso em vez de abrir o jogo com os consumidores", disparou um ex-cliente da companhia ao Motherboard, sob condição de anonimato. "Encontrei meu nome em um dos arquivos que estavam no e-mail. Nome, e-mail e CPF. No outros arquivos, eu vi que tinham outros dados de outros clientes como dados bancários e prints do internet banking, por exemplo. Acho que é possível que utilizem realmente esses dados para fazer empréstimos ou abrir contas", continua o analista de sistemas de 34 anos.

Ele afirma que está registrando tudo para uma eventual ação na justiça contra a XP. "Estou documentando tudo para, caso realmente usem o meu nome em alguma fraude, eu possa cobrar na justiça tanto da XP, que deveria ter resguardado meus dados, quanto do banco que permita abrir uma conta com dados falsos."

O ex-cliente afirma que não tem mais dinheiro investido na companhia. "Eu estava pensando em voltar a utilizar o serviço deles agora no fim do ano, mas resolvi fazer depois das férias e foi quando a notícia estourou", disse.

Em nota, a XP Investimentos afirmou hoje que "investiga, em colaboração com a Polícia Federal e o Ministério Público, possível vazamento de dados cadastrais". A mensagem ainda diz: " Conforme os fatos apurados até o momento, criminosos obtiveram informações básicas de determinados clientes entre 2013 e 2014. Importante esclarecer que, muito embora o ocorrido, os investimentos de todos os clientes estão seguros. No mesmo período, foi identificada fraude isolada com três clientes, que, à época, foi devidamente reportada às autoridades competentes e sanada, sem qualquer prejuízo financeiro aos envolvidos. Recentemente, os mesmos infratores divulgaram na internet o vazamento destes registros, em uma tentativa de extorsão. O vazamento das informações é uma ação criminosa e a empresa está tomando todas as medidas legais cabíveis."