0
0
Grupos criminosos organizados exploraram uma falha nos sistemas de pagamentos da Revolut e lucraram com US$ 20 milhões do dinheiro da empresa, informou o Financial Times no domingo, citando pessoas com conhecimento da situação.
Os problemas de cibersegurança da Revolut
A Revolut é uma empresa privada de tecnologia financeira que oferece uma variedade de serviços a mais de 30 milhões de clientes em todo o mundo. Tem sede em Londres e é licenciada e regulamentada pelo Banco da Lituânia (dentro da UE).
Em setembro de 2022, a empresa sofreu uma violação de dados que afetou 50.150 clientes em todo o mundo: os invasores pegaram os nomes, endereços, endereços de e-mail, números de telefone, parte dos dados do cartão de pagamento e detalhes da conta desses clientes.
Alguns dias depois, alguns utilizadores da Revolut queixaram-se online de que começaram a receber mensagens de phishing SMS destinadas a roubar informações pessoais e financeiras.
De acordo com fontes não identificadas do Financial Times, a recém-revelada captura de dinheiro aconteceu antes disso, no início de 2022.
Falha nos sistemas de pagamento Revolut criou uma brecha
“O problema decorreu de diferenças entre os sistemas de pagamento europeus e norte-americanos, o que significava que, quando certas transações eram recusadas, a Revolut reembolsava erroneamente as contas, entregando-lhes o seu próprio dinheiro”, explicou a publicação empresarial.
Os criminosos “incentivavam” os indivíduos a fazerem compras caras que acabariam por ser recusadas, mas a falha fez com que a Revolut fizesse erroneamente reembolsos nas contas.
Esse esforço concentrado e fraudulento aparentemente durou vários meses até que a empresa percebeu que estava acontecendo e fechou a brecha.
O FT diz que a descoberta aconteceu depois que “um banco parceiro nos EUA notificou a fintech de que estava mantendo menos dinheiro do que o esperado”, e o fracasso em descobrir o esquema fraudulento em andamento a tempo acabou custando à Revolut mais de US$ 20 milhões. (O dinheiro foi roubado da empresa, não das contas dos clientes.)
“As organizações financeiras tendem a ser maduras quando se trata de segurança. No entanto, como este incidente mostra, vulnerabilidades ou lacunas nos controles e processos ainda podem ocorrer”, disse o Dr. Suleyman Ozarslan, pesquisador de segurança e cofundador da Picus Security, à Help Net Security.
“Pode ser que nenhum departamento assuma a responsabilidade final pelo prejuízo financeiro. O departamento de TI e segurança cibernética poderia ter evitado isso verificando regularmente se havia vulnerabilidades lógicas em seu sistema. A Secretaria da Fazenda poderia ter identificado a discrepância nas transações mais cedo. O departamento de Riscos e Compliance também pode ter identificado essa irregularidade durante auditorias regulares.”
“Existem medidas preventivas que as empresas podem tomar. Auditorias regulares e verificações do sistema identificarão rapidamente quaisquer falhas ou discrepâncias. A sincronização e comunicação adequada entre os diferentes sistemas da empresa também é vital”, acrescentou.
“Esta não é uma história típica de crime cibernético de uma violação de dados ou campanha de ransomware, mas o fortalecimento dos sistemas de segurança e a implementação de técnicas avançadas de detecção de fraude podem prevenir esses incidentes. Da mesma forma, caso o pior aconteça, todas as empresas devem criar um plano de resposta a incidentes eficiente para a descoberta e reação oportunas a esses incidentes.”
A Revolut ainda não se pronunciou publicamente sobre o relatório.
FONTE: HELPNET SECURITY