Conforme reportagem publicada pelo TecMundo na última sexta-feira, 06 de março, a Urpay vazou dados de 1,6 milhão de seus usuários. Por ter acesso a dados bancários, uma brecha na API da processadora de pagamentos expôs a informações pessoais de seus clientes.
Tais informações já começaram a ser distribuídas, uma vez que uma loja online de dados já arrecadou cerca de R$2 milhões comercializando tais conteúdos.
Entenda como foi
Do montante total vazado, cerca de 500 mil documentos já foram comercializado, incluindo até mesmo selfies. A descoberta foi feita pela equipe de inteligência de ameaças da empresa ITALTEL Digital Security.
A ITALTEL ressalta ainda que o vazamento atinge clientes de 40 bancos diferentes, expondo não só as informações pessoais, como possíveis informações bancárias relevantes. O CEO da Urpay, José André da Costa, prestou uma declaração à reportagem do TecMundo explicando como ocorreu o vazamento. Abaixo, segue um trecho da mesma:
“Essa API em questão realmente é pública, ela é para um serviço de consultas de pagamentos pelos usuários que usavam a plataforma URPay para receber e enviar pagamentos.
Note que na busca existe uma “autenticação” na URL onde a mesma é gerada em cada transação do usuário na plataforma, logo quem tem essa autenticação pode buscar de forma pública o resultado das transações que o mesmo efetivou para um terceiro por exemplo, essa consulta se faz no menu BUSCAR COMPROVANTE.
Basta ele informar a autenticação e pronto, ele vai saber o STATUS da transação informada. Se a mesma está pendente, cancelada, processada ou qualquer outra informação que necessite de um comprovante em específico, e por final o comprovante dessa consulta.
Então basicamente se tem alguma informação que está sendo exposta, é por permissão do próprio usuário titular da conta que está fazendo a consulta ou alguém a quem ele recebeu ou enviou um pagamento e disponibilizou a ‘autenticação’ para a respectiva consulta.”
Note-se que, pela afirmação acima, Costa tira a responsabilidade da forma como a API foi desenvolvida e afirma ser “permissão do próprio usuário titular da conta”. A Urpay é conhecida daqueles que utilizaram serviços de empresas prometendo ganhos fixos sobre supostas operações com criptomoedas, uma vez que Unick, Midas Trend e até mesmo a exchange 3xbit já utilizaram seus serviços para movimentar moedas fiduciárias.
Os dados foram comercializados no marketplace conhecido como “PaiDoc Store”, podendo ser “adquiridos” por quantias que variavam entre R$20 e R$40, podendo ser pagos em Bitcoin.
Mais problemas
Recentemente, uma decisão judicial colocou a Urpay no pólo passivo junto com a Unick – ou seja, a processadora de pagamentos também será responsabilizada pelos pagamentos retidos.
O caso de vazamento de dados pela Urpay, dados estes que deveriam ser armazenados preservando a “intimidade, vida privada, honra e imagem das partes direta ou indiretamente envolvidas” – conforme prevê o Marco Civil da Internet -, possivelmente pode agravar a imagem da empresa aos olhos dos magistrados mais ligados à criptoesfera e que ainda estão decidindo sobre processos envolvendo a Unick.
É possível ainda que o episódio pese no julgamento negativo que parte do judiciário possui sobre empresas relacionadas a criptomoedas, conforme recente julgamento desfavorável em face da CoinBR. Na oportunidade, o desembargador relator afirmou que a conta da CoinBR deveria permanecer encerrada junto ao banco Sicredi, uma vez que ela exerce “atividade de comércio de criptomoedas”, tidas pelo desembargador como meio para prática de lavagem de dinheiro e criação de pirâmides financeiras.
Leia também: Justiça mantém fechada conta da CoinBR junto ao Banco Sicredi; Entenda os motivos