- Vazamento de dados que aconteceu há mais de um mês atrás continua tendo efeito no mercado de criptomoedas e pouco ainda se sabe sobre as empresas afetadas.
- Foi confirmado que pelo menos 30 empresas de criptomoedas foram atingidas, mas apenas quatro delas notificaram seus clientes e confirmaram terem sido afetadas.
- Entre as que confirmaram estão: Circle, BlockFi, Pantera Capital e a NYDIG.
Vazamento de dados na HubSpot
A HubSpot é uma empresa de Gestão de Relacionamento com o Cliente (CRM – Customer Relationship Management); o que significa que é uma ferramenta para automatizar a gestão e o contato com os consumidores de uma grande empresa (que é cliente do serviço), com o objetivo de marketing.
HubSpot foi fundada em 2006 e em 2020 reportou uma receita de US$ 883 milhões.
Informações de 2021 mostram que ela possui 5.895 funcionários e foi exatamente aí onde o atacante conseguiu encontrar a vulnerabilidade para o vazamento dos dados.
De acordo com informações coletadas de diversas fontes, o atacante (“hacker”) conseguiu acesso ao sistema através da conta de um dos quase 6 mil funcionários e com isso roubou dados armazenados de mais de 30 clientes da CRM. Entre eles, grandes empresas do mercado de criptomoedas.
Entre os dados, estavam informações pessoais de contato de consumidores e público-alvo destas mais de 30 empresas, como (1) nome e sobrenome; (2) endereços de e-mail; (3) códigos postais; (4) números de telefone; e (5) classificações regulatórias.
Isso acontece porque as empresas fornecem estes dados para a CRM, com o objetivo de realizar ações de marketing. As empresas, por sua vez, conseguem os dados através do próprio público (que são as verdadeiras vítimas do vazamento) que os informa de maneira voluntária durante o cadastro.
Das empresas que já confirmaram e se manifestaram sobre o vazamento de dados, estão: Circle, BlockFi, Pantera Capital e a NYDIG. Sendo que a Pantera Capital fez o comunicado em seu twitter no dia 17 de fevereiro.
As demais empresas foram comunicando seus próprios clientes a respeito do ataque e orientando que tomassem cuidado com possíveis tentativas de phishing, ou outros golpes que utilizam informações pessoais para estabelecer contato e passar credibilidade.
A BlockFi e a Swan emitiram relatório no dia 18 de março e a Circle e NYDIG foram as últimas das 5 a confirmarem que também foram vítimas, no dia 21/03/2022.
As outras 25 empresas atingidas ainda não se manifestaram e a HubSpot não divulgou informações mais detalhadas, então não sabemos quando realmente o vazamento de dados ocorreu e sua dimensão real.
Todo cuidado é pouco
Outras informações dos clientes destas empresas, no entanto, estão seguras. Já que apenas a ponta responsável pelo marketing, com informações mais básicas de comunicação e código postal foram vazadas.
Os atacantes podem utilizar estas informações para aplicar golpes como o de phishing, mas também poderiam ir mais além, utilizando estes dados para conseguir endereços e informações mais pessoais, podendo até mesmo planejar ataques diretos com tentativas de roubo ou sequestro.
Os ataques mais diretos são menos prováveis, pois foram milhões de dados no vazamento, de milhões de pessoas diferentes e os “hackers” não conseguiram, por exemplo, detalhes sobre fundos, patrimônio ou histórico de negociação.
Caso você tenha fornecido dados para empresas de criptomoedas, é recomendado cautela em futuros contatos pedindo informações pessoais, com links suspeitos, envios de dinheiro ou promoções milagrosas.
É por este e outros motivos que o compartilhamento de dados com empresas não é recomendado e corretoras que não exigem informações pessoais oferecem vantagens claras de proteção e segurança para seus clientes.
Muitos dizem que “não tenho nada a esconder”, “só se preocupa com KYC quem quer fazer coisa errada” e casos como este da HubSpot provam que estas pessoas estão absolutamente enganadas.
É muito fácil para um atacante motivado conseguir invadir sistemas, acessar e utilizar informações pessoais para o mal.
Leia mais: