Fintech Figure admite vazamento de dados após ataque de engenharia social
A Figure Technology, fintech norte-americana focada em soluções de crédito baseadas em blockchain, confirmou ter sofrido um incidente de segurança que resultou em vazamento de dados de clientes. De acordo com a empresa, o ataque teve origem em uma ação de engenharia social direcionada a um funcionário, o que permitiu que criminosos obtivessem acesso indevido a sistemas internos e extraíssem informações confidenciais.
Em comunicado, a companhia afirmou que os invasores conseguiram acessar e exfiltrar uma quantidade limitada de arquivos. A Figure, porém, não detalhou o volume total de informações comprometidas nem o número exato de pessoas afetadas. A fintech declarou que iniciou um processo de notificação individual das potenciais vítimas e está oferecendo serviços de monitoramento de crédito gratuito às pessoas que receberem o aviso oficial sobre o incidente.
Embora a empresa tente minimizar a dimensão do ataque ao falar em “número limitado de arquivos”, o vazamento ganha contornos mais graves diante das alegações do próprio grupo responsável pela invasão. Os criminosos afirmam ter obtido um conjunto de dados suficientes para possibilitar fraudes financeiras, golpes de engenharia social secundários e roubo de identidade em larga escala.
ShinyHunters assume autoria e publica dados na dark web
O grupo de cibercriminosos conhecido como ShinyHunters reivindicou a responsabilidade pelo ataque. Em seu espaço na dark web, os invasores afirmam que a Figure se recusou a negociar ou pagar qualquer tipo de resgate. Como retaliação, o grupo diz ter divulgado aproximadamente 2,5 GB de dados atribuídos à fintech.
Segundo a descrição publicada pelos criminosos, entre as informações expostas estariam nomes completos, endereços residenciais, datas de nascimento e números de telefone de clientes da Figure. Trata-se de um conjunto de dados altamente sensível, que pode ser combinado e explorado em diversas modalidades de fraudes, como abertura indevida de contas, solicitações de crédito em nome das vítimas e ataques direcionados de phishing e smishing.
A publicação do pacote de dados na dark web faz com que o incidente deixe de ser apenas uma violação pontual para se transformar em um risco contínuo. Uma vez que essas informações estão circulando em fóruns clandestinos, elas podem ser compradas, revendidas e reutilizadas por diferentes grupos criminosos ao longo dos próximos anos, aumentando a superfície de exposição das vítimas.
Campanha mais ampla contra usuários de Okta
O ataque à Figure não teria sido um caso isolado. Ainda de acordo com o grupo ShinyHunters, a ação contra a fintech faria parte de uma campanha mais ampla direcionada a organizações que utilizam o provedor de Single Sign-On (SSO) Okta. Entre as instituições supostamente afetadas na mesma ofensiva estariam a Harvard University e a University of Pennsylvania.
Esse contexto indica que os invasores buscaram explorar vetores comuns de autenticação e acesso, mirando empresas e instituições que centralizam o login de funcionários e usuários por meio da plataforma da Okta. Campanhas desse tipo tendem a mirar credenciais de alto valor – como as de administradores de sistemas ou colaboradores com amplo nível de permissão – justamente para facilitar a movimentação lateral dentro dos ambientes corporativos e a coleta massiva de dados.
Embora cada organização possua sua própria estrutura de segurança, o uso compartilhado de provedores de SSO cria um elo de interdependência tecnológica. Isso não significa que o provedor seja necessariamente o ponto vulnerável, mas evidencia como credenciais e fluxos de autenticação se tornaram alvos preferenciais para ataques de engenharia social.
Engenharia social continua sendo o elo mais fraco
O incidente da Figure reforça um padrão já bem conhecido no universo da cibersegurança: a engenharia social segue sendo uma das principais portas de entrada para invasões em ambientes corporativos, inclusive em empresas de tecnologia financeira que operam com soluções avançadas, como blockchain. Em muitos casos, os criminosos não precisam, inicialmente, quebrar algoritmos criptográficos ou explorar falhas sofisticadas em código; basta convencer um funcionário a realizar uma ação equivocada.
Ataques de engenharia social exploram pontos frágeis do comportamento humano – curiosidade, confiança, pressa ou desconhecimento. Isso pode ocorrer por meio de e-mails falsos (phishing), mensagens instantâneas, ligações telefônicas, perfis enganosos em redes sociais ou até mesmo contatos presenciais. No caso da Figure, a empresa informou apenas que um funcionário foi vítima de uma ação desse tipo, sem detalhar o vetor inicial (e-mail, ligação, mensagem corporativa falsa etc.).
Independentemente do canal utilizado, o objetivo final costuma ser o mesmo: obter credenciais de acesso, enganar o colaborador para que aprove ações indevidas, instale malwares ou autorize o compartilhamento de dados internos. Uma vez com as chaves de acesso, os atacantes passam a agir dentro do ambiente da empresa com aparência de legitimidade.
Por que fintechs são alvos tão atrativos
Empresas de tecnologia financeira, como a Figure, lidam diariamente com dados extremamente sensíveis e com movimentações financeiras relevantes, o que as torna alvos naturais para grupos especializados em cibercrime. Mesmo quando a operação de crédito e registro de ativos é baseada em blockchain – uma tecnologia reconhecida por sua robustez criptográfica – os sistemas de suporte, cadastros de usuários, canais de atendimento e ferramentas internas podem ser vulneráveis a ataques tradicionais.
Na prática, isso significa que não adianta ter uma infraestrutura de blockchain segura se o processo de entrada no sistema, a gestão de identidades e o comportamento dos usuários e funcionários não seguem padrões rígidos de segurança. O elo fraco raramente é o algoritmo matemático; quase sempre é a interação humana com a tecnologia.
Além disso, dados de clientes de fintechs podem ser extremamente lucrativos no mercado clandestino. Combinando informações como nome completo, data de nascimento, endereço e telefone, criminosos conseguem montar perfis detalhados para aplicar golpes em outras instituições financeiras, realizar falsificações de documentos ou simular contatos de suporte ao cliente para roubar ainda mais dados.
Impactos para os clientes e riscos de médio prazo
Para os clientes potencialmente afetados, o vazamento relatado no caso da Figure representa muito mais do que um incômodo pontual. Mesmo quando a empresa oferece monitoramento de crédito gratuito – uma medida importante e bem-vinda – o risco de uso indevido das informações pessoais pode se estender por anos.
Entre os possíveis impactos estão tentativas de abertura de contas bancárias e linhas de crédito em nome das vítimas, pedidos fraudulentos de empréstimo, golpes de investimento, além de campanhas direcionadas de phishing altamente personalizadas, nas quais o criminoso utiliza dados reais para ganhar credibilidade. Isso torna os ataques mais difíceis de serem identificados como fraudes à primeira vista.
Outro ponto crítico é o uso cruzado das informações em diferentes plataformas. Dados obtidos em um vazamento podem ser combinados com outras brechas anteriores, ampliando o nível de detalhamento que os cibercriminosos possuem sobre um indivíduo. Por isso, um único incidente de segurança pode ser o gatilho para uma cadeia de golpes em contextos variados, incluindo serviços de telecomunicações, e-commerce e bancos tradicionais.
Como usuários podem se proteger após um vazamento
Diante de incidentes como o que atingiu a Figure, é fundamental que consumidores adotem uma postura mais ativa em relação à própria segurança digital. Entre as medidas recomendadas estão:
– Acompanhar com atenção extratos bancários e faturas de cartão de crédito, buscando identificar transações desconhecidas o mais cedo possível.
– Considerar o uso de alertas por SMS ou aplicativo do banco para toda movimentação financeira relevante.
– Desconfiar de ligações e mensagens que utilizem dados pessoais para ganhar confiança, principalmente quando há pedidos de códigos, senhas, confirmações de cadastro ou instalações de aplicativos.
– Redobrar o cuidado com e-mails que pareçam vir de instituições financeiras ou empresas com as quais a pessoa tem relacionamento: verificar remetente, erros de digitação e links suspeitos.
– Utilizar senhas únicas e fortes em cada serviço, evitando repetir a mesma combinação em diferentes plataformas.
– Ativar, sempre que possível, a autenticação em duas etapas (MFA), que adiciona uma camada de proteção mesmo quando a senha principal é comprometida.
Quando a empresa oferece monitoramento de crédito, vale a pena aderir ao serviço e acompanhar qualquer consulta ou mudança incomum em seu histórico. Em alguns países e mercados, é possível ainda solicitar bloqueios preventivos para abertura de crédito, o que reduz as chances de alguém contratar financiamentos em nome da vítima.
A importância do treinamento contínuo dentro das empresas
Do ponto de vista corporativo, o ataque à Figure evidencia mais uma vez a necessidade de investir não apenas em tecnologia, mas também em educação e cultura de segurança. Treinamentos pontuais, realizados uma vez por ano, tendem a perder efeito rapidamente diante da sofisticação e da frequência dos ataques.
Organizações que lidam com dados sensíveis precisam estabelecer programas contínuos de conscientização, com simulações de phishing, campanhas internas de alerta, canais claros para reporte de incidentes e uma política que não puna o funcionário que reporta um erro de boa-fé. A meta é transformar cada colaborador em um agente de proteção, e não em um ponto de fragilidade.
Outro fator crucial é limitar privilégios de acesso. O princípio do “menor privilégio” recomenda que cada funcionário tenha apenas as permissões estritamente necessárias para executar suas atividades. Dessa forma, mesmo que um ataque de engenharia social seja bem-sucedido, o alcance dos invasores dentro da infraestrutura da empresa tende a ser menor.
Revisão de fornecedores e cadeia de confiança
O caso também chama atenção para a importância de revisar periodicamente a segurança de fornecedores críticos, como provedores de SSO, serviços em nuvem e plataformas terceirizadas utilizadas em autenticação e gestão de identidades. Em um ecossistema altamente integrado, a cadeia de confiança se estende para além das paredes da própria empresa.
Isso não significa, necessariamente, que algum fornecedor tenha sido o ponto de falha no incidente da Figure, mas reforça que controles de acesso, integrações e permissões entre sistemas precisam ser revisados com rigor. Auditorias de segurança, testes de invasão (pentests) e análises de risco dos principais parceiros tecnológicos são etapas que não podem ser negligenciadas em ambientes financeiros digitais.
Tendência: mais ataques, mais visibilidade e mais regulação
A exposição da Figure em um cenário de campanha mais ampla contra empresas usuárias de SSO mostra uma tendência que vem se consolidando: grupos criminosos bem organizados, com foco em extorsão e roubo de dados, selecionam alvos que concentram informações valiosas e sistemas críticos. O setor financeiro – tradicional ou digital – permanece no topo dessa lista.
Com o crescimento desses incidentes, aumenta também a pressão de reguladores, governos e consumidores por mais transparência e responsabilidade na forma como dados pessoais são armazenados, protegidos e, em caso de falhas, comunicados ao público. Empresas que atuam com tecnologias avançadas, como blockchain, precisam demonstrar que sua postura de segurança vai além do discurso e se traduz em práticas sólidas de proteção ponta a ponta.
O episódio envolvendo a Figure ilustra de forma clara que, na cibersegurança, não existe solução única ou infalível. A combinação de tecnologia robusta, processos bem desenhados, cultura interna de proteção e vigilância constante sobre fornecedores e acessos é o que, em conjunto, reduz de maneira efetiva o impacto e a frequência de incidentes desse tipo. Para clientes e empresas, a mensagem é direta: em um ambiente digital cada vez mais hostil, segurança da informação deixou de ser um diferencial e se tornou requisito básico de sobrevivência.