A startup de fintech Revolut confirmou que foi atingida por um ciberataque altamente direcionado que permitiu aos hackers aceder aos dados pessoais de dezenas de milhares de clientes.
O ataque já aconteceu a 10 de setembro, tendo sido resolvido na manhã seguinte. Os clientes em risco já estarão a ser contactados para tomarem medidas de proteção adicionais.
O porta-voz da Revolut, Michael Bodansky, revelou à imprensa internacional que “um terceiro não autorizado” obteve acesso aos detalhes de uma pequena percentagem (0,16%) dos clientes da empresa e por um período de tempo relativamente curto. O ataque terá acontecido no final de 10 de setembro, tendo a empresa procedido a medidas de segurança eficazes logo na manhã seguinte.
Identificamos e isolamos imediatamente o ataque para limitar efetivamente o seu impacto e entramos em contacto com os clientes afetados.
Os clientes que não receberam um e-mail não foram afetados.
A Revolut, que tem licença bancária na Lituânia, não avançou exatamente com o número de clientes expostos. Contudo, no seu site a informação é que a empresa tem aproximadamente 20 milhões de clientes. Logo, 0,16% traduzir-se-ia em cerca de 32 mil clientes.
No entanto, de acordo com a declaração do crime por parte da Revolut às autoridades na Lituânia, a empresa diz que 50.150 clientes foram afetados, incluindo 20.687 clientes no Espaço Económico Europeu e 379 cidadãos lituanos.
A Revolut recusou-se a dizer que tipo de dados foram roubados, mas garante que não houve acesso ou roubo de nenhum fundo. Numa mensagem enviada aos clientes afetados num post no Reddit, a empresa disse que “nenhum detalhe de cartão, PIN ou senha foi acedido”. No entanto, uma vez mais, na denúncia, é afirmado que os hackers “provavelmente” tiveram acesso a dados parciais de pagamento com cartão, juntamente com nomes, endereços, endereços de e-mail e números de telefone dos clientes.
Uma vez mais, fala-se na técnica de “engenharia social” para persuadir um funcionário da empresa a abrir a porta de entrada aos dados confidenciais da empresa, uma prática cada vez mais popular neste tipo de ataques. A Revolut fala ainda na possibilidade de o ataque ter sido desencadeado para roubo de dados para uma eventual campanha de phishing direcionada, tendo já pedido aos clientes para reportarem qualquer desconfiança nesse sentido.
A startup avisou os clientes que não ligará ou enviará mensagens SMS a solicitar dados de login ou códigos de acesso.