A startup de fintech Revolut confirmou que sofreu um ataque cibernético altamente direcionado que permitiu que hackers acessassem os dados pessoais de dezenas de milhares de clientes.
O ataque ocorreu em 10 de setembro e foi resolvido na manhã seguinte. É claro que os clientes vulneráveis serão contatados para implementar medidas de segurança adicionais.
O porta-voz da Revolut, Michael Bodansky, revelou à mídia internacional que um "terceiro não autorizado" obteve acesso aos dados de uma pequena porcentagem (0,16%) dos clientes da empresa em um período de tempo relativamente curto. O ataque aconteceu no final de 10 de setembro e a empresa implementou medidas de segurança eficazes na manhã seguinte.
Identificamos e isolamos imediatamente o ataque para limitar efetivamente o seu impacto e entramos em contacto com os clientes afetados.
Os clientes que não receberam um e-mail não foram afetados.
A Revolut, que tem licença bancária na Lituânia, não deu um número não revelado de clientes. No entanto, o site da empresa diz que a empresa tem cerca de 20 milhões de clientes. Portanto, 0,16% irá para quase 32 mil clientes.
No entanto, de acordo com a declaração criminal da Revolut às autoridades lituanas, a empresa disse que 50.150 clientes foram afetados, incluindo 20.687 do Espaço Económico Europeu e 379 clientes lituanos.
A Revolut se recusou a dizer que tipo de dados foi roubado, mas confirmou que nenhum fundo foi acessado ou roubado. Em um aviso enviado aos clientes afetados em um post do Reddit, a empresa disse que "nenhuma informação de cartão, PIN ou senha foi acessada". Novamente, porém, na denúncia, é dito que o hacker "provavelmente" obteve acesso a parte dos dados de pagamento com cartão, bem como o nome, endereço, endereço de e-mail e telefone do hóspede.
Mais uma vez, fala-se de táticas de "engenharia social" para convencer os funcionários da empresa a abrir a porta para dados confidenciais da empresa, um método cada vez mais comum desse tipo de ataque. A Revolut também mencionou que o ataque poderia ter sido realizado para roubar dados para uma potencial campanha de phishing, pois pediu aos clientes que relatassem qualquer suspeita sobre o assunto.
A startup alertou os clientes que eles não ligarão ou enviarão mensagens SMS solicitando detalhes de login ou códigos de acesso.