Neon admite: hacker sabe até o saldo bancário dos clientes

Fintech emite novo comunicado e inclui pela primeira vez dados financeiros entre os registros roubados num incidente de segurança. Até ex-consumidores foram impactados.

Thássius Veloso
• Atualizado 24/02/2025 às 12:10
Arte mostra um homem com moletom de capuz teclando em um notebook. Ao fundo, há o logo do banco Neon. Na parte inferior direita está o logotipo do Tecnoblog.
Neon sofreu ataque em 09/02 e admitiu o roubo de dados confidenciais (ilustração: Vitor Pádua/Tecnoblog)
Resumo
  • A Neon sofreu um acesso não autorizado em 09/02, resultando no roubo de dados de atuais e antigos clientes.
  • O ataque envolveu a captura de informações financeiras como renda, saldo, limites de crédito e dados cadastrais como nome e CPF.
  • Neon informou que acionou protocolos de segurança e a Autoridade Nacional de Proteção de Dados acompanha o caso.

A empresa financeira Neon admitiu pela primeira vez que o acesso não autorizado em 09/02 resultou no roubo de dados confidenciais relacionados ao dinheiro na conta dos correntistas. Até o saldo foi vasculhado no incidente de segurança de fevereiro.

Clientes receberam um novo comunicado por email na noite desta sexta-feira (21/02). Nele, a Neon cita que os seguintes dados dos clientes foram obtidos sem autorização:

  • Dados financeiros (como renda, limites de crédito e pagamento, saldo e número da conta)
  • Dados de uso do sistema (como versão do app da Neon e modelo do celular)
  • Dados cadastrais de identificação pessoal (como nome, CPF, telefone, email, filiação, endereço, data de nascimento, foto de identificação e do documento)

Entenda o caso

Até então, já se sabia que os dados cadastrais tinham sido capturados durante um acesso não autorizado, que foi realizado, segundo investigação da Neon, a partir de uma credencial (ou seja, login/senha) de um parceiro. A Neon não divulgou o nome da empresa envolvida no incidente.

A novidade diz respeito aos dados financeiros também capturados pelo suposto hacker. O agente malicioso, segundo o comunicado, pode associar clientes da Neon à sua renda, saldo em conta e limites de crédito.

Print de email que diz o seguinte: "Prezado(a) Cliente, Em 09/02/2025, a Neon tomou conhecimento de um acesso indevido de dados pessoais de seus clientes e ex-clientes e iniciou imediatamente as investigações para confirmar a sua ocorrência e avaliar a sua extensão. Assim, prezando pela responsabilidade e transparência, a Neon informa que identificou acesso de alguns de seus dados pessoais das seguintes categorias: - Dados cadastrais de identificação pessoal (como nome, CPF, telefone, e-mail, filiação, endereço, data de nascimento, foto de identificação e do documento). - Dados de uso do sistema (como versão de app da Neon e modelo do celular). - Dados financeiros (como renda, limites de crédito e pagamento, saldo e número da conta). Tratam-se de dados pessoais que são classificados como gerais nos termos da legislação aplicável. Se você já encerrou sua conta Neon, ressaltamos que seus dados pessoais permanecem em nossos sistemas em razão de obrigações legais e regulatórias. A Neon verificou que o acesso ocorreu mediante exploração da credencial de sistema interno atribuída a parceiro, com a utilização de técnicas avançadas. A Neon também acionou os protocolos de segurança e adotou as medidas necessárias para impedir novos acessos indevidos e está realizando o monitoramento constante das redes, sendo que, até momento, não identificou a divulgação pública dos dados pessoais impactados. Nossa equipe permanece investigando o ocorrido e está adotando todas as medidas necessárias para garantir a proteção de seus dados pessoais. Permaneceremos vigilantes e monitorando a situação de maneira rigorosa. É importante destacar que OS fatos ocorridos หลือ permitem acesso a sua conta e nem possibilita a realização de transações. Reforçamos que sua conta permanece segura: nenhuma ação é necessária em relação a sua conta. Esta comunicação está sendo realizada após a análise detalhada do ocorrido, que tornou possível informar com precisão quais os dados impactados a cada um de seus clientes de maneira individualizada. Alertamos para que redobre atenção a possíveis comunicações suspeitas, especialmente que demandem o acesso a links, a realização do download de arquivos e que solicitem qualquer providência com urgência. Caso tenha quaisquer dúvidas, estamos à disposição para atendê-lo(a) através do nosso Portal da Privacidade. Atenciosamente, Equipe Neon."
Comunicado enviado pela Neon em 21/02 (imagem: reprodução)

No comunicado, a Neon diz que tais informações são classificadas como “dados gerais”, que não têm tratamento especial. A empresa tem razão: todos estes registros podem ser processados de maneira simples, de acordo com a Lei Geral de Proteção de Dados (LGPD).

O que diz a Neon?

A Neon ainda informa que os ex-clientes também podem ter sido impactados pelo roubo de dados “em razão de obrigações legais e regulatórias”.

A fintech reafirma que acionou protocolos de segurança e adotou medidas necessárias para evitar novos acessos. Também volta a dizer que “não identificou a divulgação pública dos dados pessoais impactados”.

Print de um tweet que diz: "Encerrei a conta no Neon há uns 3 anos e recebi o e-mail."
Ex-cliente da Neon também recebeu comunicado (imagem: Thássius Veloso/Tecnoblog)

Ainda não se sabe a extensão do problema, tendo em vista que a Neon não revelou quantos clientes tiveram os dados capturados na atividade hacker.

Nós enviamos perguntas adicionais à equipe de comunicação da Neon. Esse texto será atualizado caso nos respondam.

A Autoridade Nacional de Proteção de Dados (ANPD) disse ao Tecnoblog que acompanha o caso.

Responde

Saiba como cancelar uma conta no banco Neon; o processo pode ser feito rapidamente no aplicativo da instituição financeira
Como cancelar uma conta no banco Neon
Dinheiro tecnológico; descubra o que é uma fintech e quais exemplos o Brasil está produzindo neste ramo muito lucrativo
O que é uma fintech? 7 exemplos brasileiros
São todos malvados? Saiba o que é um hacker quais são os tipos encontrados e sua importância para grandes empresas
O que é um hacker?
Saiba o que é o O.MG Cable, uma versão hackeada do cabo Lightning do iPhone que pode invadir o macOS, para roubar dados
Como um cabo Lightning pode permitir ataques [O.MG Cable]

Relacionados

Banco Central diz que Pix funciona normalmente. Problema na plataforma de cibersegurança CrowdStrike afetou sistemas em todo o mundo.
Bradesco, XP e mais bancos tiveram problemas por causa de pane global
Saiba o que é spoofing, a técnica usada por hackers para se passar por outra pessoa ou uma empresa legítima e roubar dados
O que é spoofing?
Ministério da Justiça e Segurança Pública e Federação Brasileira de Bancos vão trabalhar em conjunto para combater as fraudes bancárias que atormentam os brasileiros.
Governo e bancos anunciam aliança para combater golpes financeiros
Armadilha para os hackers; saiba o que é um honeypot em segurança digital e como serve na captura do invasor malicioso
O que é um honeypot em segurança digital?

Escrito por

Thássius Veloso

Thássius Veloso

Editor

Thássius Veloso é jornalista especializado em tecnologia. Ele cobre feiras de eletrônicos, TI e inovação desde 2008. Thássius é editor do Tecnoblog, comentarista da CBN, palestrante, apresentador de eventos e facilitador de media training. Ele já colaborou com Jornal Nacional e GloboNews. Thássius venceu o Prêmio Especialistas três vezes. O jornalista também está no perfil @thassius nas redes sociais e no site thassius.com.