Dados bancários e informações pessoais de clientes da XP foram vazados, informa corretora
Corretora confirma invasão que comprometeu saldos e dados cadastrais de março; empresa tenta acalmar mercado garantindo que senhas e CPFs não foram acessados
Em um incidente significativo de segurança que abala a confiança no setor financeiro brasileiro, a XP Investimentos confirmou nesta quinta-feira um "acesso não autorizado" a uma base de dados hospedada em um fornecedor externo. O ataque, detectado em 22 de abril, expôs informações sensíveis de clientes, incluindo saldos bancários e dados cadastrais.
Dimensão do vazamento
A invasão comprometeu três categorias principais de informações:
Dados pessoais como nome, telefone, e-mail, data de nascimento e estado civil
Informações sobre produtos financeiros contratados
Dados bancários específicos, incluindo número de conta, saldo e limite de crédito referentes a março
Resposta da instituição
A XP agiu rapidamente após identificar a invasão, bloqueando imediatamente o acesso não autorizado e notificando as autoridades competentes. Em comunicado oficial, a instituição enfatizou que "nenhuma conta de cliente, seus recursos ou sistema interno da XP foram comprometidos", buscando tranquilizar o mercado e sua base de clientes.
Alertas de segurança
A corretora emitiu um alerta importante aos clientes, orientando-os a:
Desconfiar de ligações telefônicas em nome da XP sobre procedimentos de segurança
Não fornecer senhas, tokens ou códigos recebidos por SMS ou e-mail
Utilizar apenas canais oficiais de atendimento em caso de dúvidas
Impacto no Mercado
Embora a XP não tenha revelado o número exato de clientes afetados, confirmou-se que o incidente impactou clientes de todo o grupo. A empresa garantiu que senhas, CPFs e dados biométricos permaneceram protegidos e não foram comprometidos vazamento.
O incidente gerou preocupações sobre a proteção de dados em instituições financeiras, especialmente em um momento em que vazamentos de dados são cada vez mais comuns.
A XP destacou que está reforçando a confiança dos clientes enquanto lida com as consequências do incidente, que não envolveu ransomware ou outras formas de ataque cibernético sofisticado.
A Lei Geral de Proteção de Dados (LGPD) no Brasil pode impor obrigações adicionais à XP, como maior transparência e possíveis sanções, dependendo da gravidade e do manejo do caso.
Confira a nota da XP Investimentos na íntegra
Prezado,
Em 22/03/25, tomamos conhecimento de que uma base de dados que se encontrava hospedada em um fornecedor externo da XP teve um acesso não autorizado. Imediatamente efetivamos o bloqueio deste acesso. Sua conta e seus investimentos estão em total segurança, pois nenhum sistema da XP foi acessado. A utilização dos nossos aplicativos e sites pode continuar sendo realizada normalmente e não é necessário alterar sua senha.
Nenhuma operação financeira foi realizada, seus recursos estão seguros e protegidos. Não foram acessadas informações como senha, assinatura eletrônica e biometria, e nem mesmo seu CPF ou documento de identidade. Suas informações pessoais não estão sendo compartilhadas ou divulgadas de forma pública. Portanto, não é necessária nenhuma ação por sua parte.
Atuamos preventivamente para garantir a segurança e a integridade de dados. Assim que tivemos conhecimento dos fatos, iniciamos uma investigação em detalhe de forma a conhecer sua extensão e informamos imediatamente às autoridades competentes.
Identificamos os seguintes dados de sua titularidade dentre as informações acessadas:
Dados cadastrais, como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
Dados sobre os produtos financeiros contratados, sem os respectivos detalhamentos, limitando-se às informações binárias, como se possui ou não cartão de crédito e débito, seguro, consórcio, previdência e portabilidade de salário. Reiteramos que seus recursos estão em segurança.
Dados como o número de sua conta na XP, saldo, posição, nome do assessor e limite de crédito, referentes ao mês de março. Reforçamos que a sua conta não foi acessada, nenhuma operação foi feita e seus recursos estão seguros e protegidos.
Por conta do ocorrido, desconfie de ligações telefônicas em nome da XP. sobre procedimentos de segurança e reconhecimento de compras ou transações, e nunca altere ou realize qualquer ação no aplicativo sob orientação de qualquer contato telefônico. A XP não solicita dados de senhas, token ou qualquer código recebido por sms ou e-mail. Se você ficar em dúvida sobre algum contato suspeito, procure nossos canais oficiais de atendimento . Dicas sobre segurança na sua vida financeira podem ser lidas aqui.
Lamentamos profundamente o ocorrido e queremos reforçar o nosso compromisso com a transparência e com a total segurança dos seus dados. Reforçamos que o acesso indevido foi prontamente interrompido.
Sua conta está segura, nenhum sistema da XP foi acessado e não é necessária nenhuma ação por sua parte.
Atenciosamente,
XP.
Editada às 17h47min para alteração do título e inclusão da íntegra da nota da XP. O título anterior informava que a corretora havia sofrido um ‘ataque cibernético'. A empresa alega que se trata de um 'acesso não autorizado’.
Palavras-chave: XP Investimentos, vazamento de dados, segurança digital, cibersegurança, dados bancários
Hashtags: #PainelPolitico #XPInvestimentos #VazamentoDeDados #CiberSegurança #MercadoFinanceiro #SegurançaDigital #DadosBancarios