A fintech Neon confirmou que um ataque hacker ocorrido em 9 de fevereiro de 2025 resultou no acesso indevido a dados financeiros e pessoais de seus clientes e ex-clientes. Em um comunicado oficial enviado por e-mail na noite de sexta-feira (21 de fevereiro), a empresa detalhou que o invasor obteve informações como saldo bancário, renda, limites de crédito, dados cadastrais e informações sobre o uso do aplicativo.
O ataque foi anunciado em um fórum na internet pelo hacker identificado como “Pegasus”, que publicou uma postagem intitulada “Quanto vale 30 milhões de dados de um banco brasileiro?”, na terça-feira, 11 de fevereiro. O invasor afirmou ter conseguido acessar informações de 30.825.019 clientes, incluindo nome completo, CPF, CNPJ, telefone, renda, saldo, situação fiscal, perfil da conta, histórico de movimentações financeiras e imagens de documentos usados na abertura de conta. Além disso, dados biométricos e informações sobre dispositivos usados para acessar o aplicativo teriam sido obtidos.
Hacker e fintech divergem sobre o impacto do ataque
A fintech Neon classificou o incidente como uma “cópia não autorizada de dados”, enfatizando que as informações acessadas não permitem a realização de transações bancárias nem o acesso direto às contas dos clientes. Além disso, a empresa contestou a alegação de “Pegasus” de que 30 milhões de clientes foram afetados, afirmando que os números apresentados pelo hacker “não são factíveis” com as informações apuradas internamente.
“A Neon verificou que o acesso ocorreu mediante exploração da credencial de sistema interno atribuída a parceiro, com a utilização de técnicas avançadas.” – Comunicado oficial da Neon.
“Pegasus” afirmou que conseguiu realizar o ataque explorando uma “falha de domínio”, que, segundo ele, está presente em quase todos os sites com domínio “.br”. No entanto, nem o hacker nem a fintech Neon detalharam a natureza exata da vulnerabilidade explorada.
Hacker justifica ataque e alega descaso das instituições financeiras
Em entrevista ao TecMundo, “Pegasus” declarou que sua motivação para realizar o ataque foi a falta de reconhecimento e pagamento de recompensas por parte das instituições financeiras brasileiras pela identificação de vulnerabilidades.
“Já achei muitas brechas, mas quando as reporto, elas [instituições financeiras] nem respondem, simplesmente corrigem a falha e ignoram a recompensa. Aliás, a recompensa aqui é ridícula. Falhas severas de domínio que exploro há anos, eles [instituições bancárias] querem pagar mil dólares e ainda preferem me chamar de cibercriminoso. Fora os processos por ‘extorsão’ quando tento reportar uma falha.” – “Pegasus”.
O hacker revelou que tentou negociar uma recompensa de 5 BTC (cerca de R$ 2,8 milhões) diretamente com a diretoria da Neon, utilizando um contrato inteligente na rede Ethereum. No entanto, segundo “Pegasus”, a fintech não efetuou o pagamento até o momento da entrevista.
A Neon reforçou que segue monitorando a situação e afirmou que está adotando medidas para cessar novos acessos indevidos e avaliar o impacto do incidente. A Autoridade Nacional de Proteção de Dados (ANPD) acompanha o caso, mas a fintech não revelou o número exato de clientes afetados pelo ataque.
Embora os clientes da Neon não tenham sido diretamente impactados em suas contas bancárias, especialistas alertam que vazamentos dessa magnitude podem gerar impactos futuros, como tentativas de fraude, golpes e roubo de identidade.
Escrito com Perpexity, imagem Chagpt 4.0 + Adobe Firefly, Com informações de Tecnoblog, Tecmundo, Cointelegraph
