Fintech Figure confirma violação de dados após ataque de engenharia social
A Figure Technology, fintech norte-americana conhecida por oferecer crédito lastreado em blockchain, confirmou ter sofrido uma violação de dados após um golpe de engenharia social direcionado a um de seus funcionários. A falha permitiu que criminosos acessassem o ambiente interno da companhia e exfiltrassem um “número limitado de arquivos”, segundo comunicado oficial da empresa.
Embora a Figure não tenha divulgado a quantidade exata de pessoas impactadas, a organização afirmou que já iniciou o processo de notificação dos clientes potencialmente expostos. Como medida de contenção e mitigação, a fintech está oferecendo monitoramento de crédito gratuito para todos os indivíduos que receberem a comunicação formal informando a possibilidade de comprometimento de seus dados.
ShinyHunters diz ser responsável pelo ataque
Logo após a confirmação do incidente, o grupo de cibercriminosos conhecido como ShinyHunters assumiu a autoria do ataque em um de seus canais na dark web. De acordo com os criminosos, a invasão teria resultado no roubo de aproximadamente 2,5 GB de informações confidenciais pertencentes à fintech.
Os atacantes afirmam ainda que teriam tentado extorquir a empresa, exigindo pagamento de resgate para não divulgar o conteúdo obtido. Como a Figure não teria atendido às exigências, o grupo diz ter publicado o pacote de dados roubados, expondo registros sensíveis de clientes.
Dados supostamente vazados e riscos envolvidos
Entre os tipos de informações que teriam sido divulgadas, estão dados que, combinados, representam alto risco para fraudes financeiras e roubo de identidade:
– nomes completos;
– endereços residenciais;
– datas de nascimento;
– números de telefone.
Esse conjunto de dados é particularmente valioso para criminosos, pois possibilita desde a abertura fraudulenta de contas e linhas de crédito até golpes de phishing altamente personalizados. Combinados com outras bases vazadas, esses registros podem alimentar esquemas mais sofisticados de fraude, tornando a vida do consumidor impactado consideravelmente mais vulnerável.
Campanha mais ampla contra usuários de Okta
O incidente da Figure não seria um caso isolado. Segundo o próprio grupo ShinyHunters, o ataque fez parte de uma campanha mais ampla mirando empresas e instituições que utilizam o provedor de autenticação e SSO (Single Sign-On) Okta. Nessa mesma ofensiva, os criminosos alegam ter comprometido dados ligados a organizações como Harvard University e University of Pennsylvania.
Embora, até o momento, não haja confirmação detalhada de todas essas invasões por parte das instituições citadas, o episódio reforça uma tendência recente: atacar a cadeia de identidade e autenticação das organizações, explorando pontos frágeis do elo humano em vez de tentar romper diretamente camadas mais robustas de criptografia ou infraestrutura.
Engenharia social: o elo mais fraco continua sendo o humano
Mesmo em empresas de tecnologia financeira que operam com blockchain e adotam camadas avançadas de proteção, ataques baseados em engenharia social seguem sendo uma das principais portas de entrada para violações. Em muitos casos, os criminosos não precisam “quebrar” a tecnologia de segurança; basta enganar alguém de dentro.
Golpes desse tipo podem envolver:
– e-mails cuidadosamente forjados (phishing e spear phishing), que imitam comunicados internos ou fornecedores;
– ligações telefônicas se passando por suporte técnico ou equipe de TI;
– mensagens em aplicativos corporativos, solicitando códigos de autenticação ou aprovações de acesso;
– uso de informações públicas sobre funcionários para criar abordagens altamente personalizadas.
Na prática, o ataque à Figure reforça que o foco da proteção não pode estar apenas em firewalls, criptografia e blockchain, mas também em treinar continuamente as equipes para reconhecer tentativas de manipulação psicológica.
O que clientes e usuários podem fazer diante de um vazamento
Para consumidores que podem ter sido afetados, algumas ações básicas ajudam a reduzir o impacto de um vazamento desse tipo:
1. Acompanhar o comunicado oficial da empresa
Ler atentamente as orientações enviadas pela fintech, inclusive sobre o serviço de monitoramento de crédito oferecido, e seguir as recomendações.
2. Ativar alertas em instituições financeiras
Configurar avisos por SMS, e-mail ou aplicativo para qualquer movimentação suspeita em contas bancárias e cartões.
3. Monitorar relatórios de crédito
Verificar periodicamente se não há abertura de contas, financiamentos ou empréstimos em seu nome sem autorização.
4. Desconfiar de contatos inesperados
Após vazamentos, golpes de phishing costumam aumentar. É essencial desconfiar de ligações ou mensagens pedindo códigos de autenticação, senhas ou dados adicionais, mesmo que usem informações verdadeiras sobre você.
5. Reforçar hábitos de segurança digital
Utilizar senhas fortes e únicas, habilitar autenticação de múltiplos fatores onde for possível e evitar reutilizar credenciais em vários serviços.
Lições para empresas de fintech e organizações financeiras
O caso da Figure traz alguns aprendizados importantes para o setor financeiro e para qualquer organização que lida com dados sensíveis:
– Treinamento contínuo de colaboradores: campanhas pontuais de conscientização não são suficientes. É necessário um programa constante, com simulações de phishing, reciclagens frequentes e atualização sobre novos golpes.
– Políticas rígidas de acesso: adoção de princípios como “menor privilégio”, segmentação de redes e revisão periódica de permissões para reduzir o impacto caso uma conta seja comprometida.
– Monitoramento e resposta a incidentes: detecção precoce de movimentações atípicas, logs bem configurados e equipes preparadas para reagir rapidamente podem reduzir a quantidade de dados exfiltrados.
– Validação forte de identidade: mesmo quando um funcionário fornece credenciais, camadas extras de autenticação e verificação de contexto (local, dispositivo, horário) podem sinalizar acessos suspeitos.
Blockchain não é escudo absoluto contra vazamentos
Há uma percepção comum de que soluções baseadas em blockchain são automaticamente mais seguras, o que é verdade em relação à integridade de transações e registros imutáveis. No entanto, isso não impede vazamentos de dados se o ataque se der nas bordas do sistema: no dispositivo do usuário, na conta do funcionário ou na infraestrutura de suporte.
O incidente com a Figure ilustra que a tecnologia de registro distribuído pode ser robusta, mas o ecossistema em torno dela – aplicações, painéis administrativos, integrações com terceiros, provedores de SSO – ainda depende de boas práticas de segurança tradicionais e de uma gestão rigorosa da identidade digital.
O papel dos provedores de SSO e identidade
A menção ao Okta no contexto da campanha do ShinyHunters também reforça a importância de provedores de autenticação na estratégia de segurança das empresas. Serviços de SSO trazem conveniência e centralizam a gestão de acesso, mas, se comprometidos, podem abrir a porta para múltiplos sistemas ao mesmo tempo.
Por isso, é essencial que organizações que utilizam esse tipo de solução:
– configurem políticas robustas de autenticação multifator;
– monitorem acessos anômalos e tentativas de login suspeitas;
– revisem com frequência integrações e permissões concedidas a aplicações conectadas ao SSO;
– mantenham planos claros de contingência para reconfigurar acessos em caso de incidente.
Caminho para fortalecer a resiliência cibernética
A violação sofrida pela Figure Technology se soma a uma série de ataques recentes que expõem o quanto a segurança da informação é um processo contínuo, e não um estado permanente. Para reduzir riscos, empresas do setor financeiro – especialmente fintechs – precisam combinar três pilares:
1. Tecnologia robusta: criptografia, segmentação de rede, gestão de vulnerabilidades, atualizações constantes.
2. Processos bem definidos: políticas de acesso, resposta a incidentes, fluxo de comunicação transparente com clientes e reguladores.
3. Cultura de segurança: colaboradores conscientes, liderança engajada e visão de que a proteção de dados é responsabilidade de toda a organização.
Ao mesmo tempo, consumidores precisam estar atentos ao uso de seus dados, adotar práticas básicas de segurança digital e aproveitar as ferramentas oferecidas pelas instituições, como monitoramento de crédito e notificações em tempo real. A combinação de esforço do lado corporativo e do lado do usuário é o que, na prática, reduz a superfície de ataque e limita o impacto inevitável de incidentes como o que atingiu a fintech Figure.