Il est terrible de constater que vos données personnelles ont été saisies, quelles que soient les circonstances, mais le problème prend des proportions dramatiques lorsqu’il s’agit d’institutions traitant de l’argent. C’est la situation des clients de XP Investimentos : les données de plus de 29 000 d’entre eux ont fini entre de mauvaises mains.
Selon une déclaration de l’entreprise aux clients, l’invasion a eu lieu entre 2013 et 2014. Seules les informations de base ont été saisies, telles que le nom, le CPF, le téléphone et le numéro de compte. Les mots de passe et les données financières auraient cependant été conservés.
XP Investimentos affirme qu’à l’époque, seuls trois clients ont été victimes de fraude à cause de la fuite, mais que les autorités ont été alertées et que le problème a été résolu par la restitution des montants. Malgré cela, les cas étaient graves : selon Valor Econômico, ces fraudes correspondaient à l’écart d’environ 500 mille.
Les problèmes ne s’arrêtent pas là. Depuis lors, des rumeurs de fuites de données chez XP Investments ont fait surface à maintes reprises, mais elles ont été réfutées. Seuls les délinquants ont tenté de nouveau de tirer profit de l’attaque à la fin de 2016 en envoyant des messages d’extorsion directement à l’entreprise. L’un d’eux a exigé le paiement de 22,5 millions convertis en bitcoins.
Si le paiement n’était pas effectué, les données saisies commenceraient à être accessibles au public. XP Investments n’a pas cédé. Pour faire pression sur les dirigeants de l’entreprise – principalement Guilherme Benchimol, fondateur et associé – les envahisseurs ont commencé à envoyer des messages à certains des clients qui disposaient des informations collectées.
Ces messages abordaient l’attaque et disaient, par exemple, que les données saisies pouvaient être utilisées pour créer de faux comptes dans les banques. Inquiets, de nombreux clients ont contacté la maison de courtage, comme l’attendaient les envahisseurs.
Jusqu’alors, XP Investimentos s’était efforcée de rester discrète, mais au vu des messages des délinquants à ses clients, la maison de courtage a été contrainte d’envoyer des courriels à l’ensemble de sa base d’investisseurs – environ 200 000 clients – pour expliquer ce qui s’était passé.
Dans les réseaux sociaux et les canaux de contact, la maison de courtage souligne toutefois que tous les investissements des clients sont sûrs et qu’ils n’ont rien à faire, pas même à changer de mot de passe :
Selon XP Investimentos, le problème fait déjà l’objet d’une enquête interne. Les mesures de sécurité adoptées ces dernières années devraient éviter d’autres invasions, souligne l’entreprise, qui précise également que la police fédérale, le ministère public et la Banque centrale sont déjà au courant.