XP está em apuros. Foto: divulgação.

Hackers conseguiram acessar os sistemas da XP Investimentos por meio de um ataque de phishing e roubar dados de 29 mil clientes, incluindo nome, CPF, números de telefone, e-mail e número da conta.

A história foi trazida à tona pelo Valor Econômico com detalhes nesta terça-feira, 24, mas vem circulando entre clientes da corretora e profissionais de segurança na informação nas últimas duas semanas. O ataque aconteceu em 2013.

O Valor obteve a lista dos nomes. Até então, o que circulavam eram e-mails dos hackers para os clientes. 

Nelas, o grupo anônimo explicava que estava partindo para a extorsão no “varejo” devido à negativa da XP de negociar “no atacado” um resgate de R$ 22,5 milhões convertidos em bitcoins. 

Na sua carta, os hackers prometem desatar o caos sobre os clientes: “Pretendemos pedir empréstimos, abrir crediários, abrir conta poupança em lotéricas para recebimento de cartões que serão usados para outras fraudes”.

Depois das ameaças, o e-mail prossegue com a descrição sobre como entrar em contato pelo sistema de chat anônimo Tox.

Até o Valor obter o documento com a lista, a XP vinha tentando manter o assunto em low profile, comunicando-se por e-mail com seus clientes para alertar sobre um “e-mail fraudulento” sobre um “suposto vazamento de dados”. 

A mensagem dizia ainda que e-mail dos hackers era “fruto de uma ação criminosa”, sem reconhecer a existência do vazamento. 

Depois do Valor obter os dados, a XP enviou um novo comunicado aos seus clientes reconhecendo que os criminosos obtiveram "informações básicas" e que os "investimentos dos clientes estão seguros".

No entanto, o comunicado reconhece também que no período do vazamento original, entre 2013 e 2014, três dos clientes chegaram a sofrer uma "fraude isolada".  Ao Valor, a XP disse que foram R$ 500 mil, transferidos das contas da XP para contas falsas em bancos.  A corretora ressarciu os valores.

No seu último comunicado, a XP frisa os seus investimentos em segurança da informação, além de investimentos em infraestrutura, processos e softwares de TI nos últimos anos, depois da fraude.

A XP procurou as autoridades e o caso  a 4ª Delegacia de Investigações sobre Fraudes Patrimoniais praticadas por Meios Eletrônicos, sediada no Departamento de Investigações Criminais (Deic).

Como envolve uma fraude eletrônica com furto de dados e outras informações confidenciais, o caso foi colocado sob sigilo pela polícia. A investigação é tratada como furto qualificado. 

Seja como for, o roubo dos dados e a decisão subsequente de ficar tapando o sol com uma peneira até que fosse impossível fazer outra coisa representam um desastre para a XP Investimentos.

Criada há apenas 15 anos em Porto Alegre, a XP surfou na relativa popularização do mercado de ações no Brasil e é hoje a terceira maior corretora do país em volume de negociação de ações, com cerca de 10% do total.

Esse volume depende de credibilidade frente aos seus inúmeros investidores de pequeno porte e na capacidade de atrair mais dinheiro. Ambas ficam prejudicadas pela repercussão em quase toda a imprensa do país do vazamento.