A Finastra confirmou que alertou seus clientes sobre um incidente de cibersegurança após um ator de ameaça começar a vender dados supostamente roubados em um fórum de hackers.
A Finastra é uma empresa de software financeiro que atende a mais de 8.000 instituições em 130 países, incluindo 45 dos principais bancos e cooperativas de crédito do mundo.
A empresa emprega 12.000 pessoas e, no último ano, reportou uma receita de US$ 1,7 bilhão.
O incidente de segurança ocorreu em 7 de novembro de 2024, quando um invasor usou credenciais comprometidas para acessar um dos sistemas Secure File Transfer Platform (SFTP) da Finastra.
A empresa afirma que sua investigação até agora, auxiliada por especialistas externos em cibersegurança, não mostra evidências de que a violação se estendeu além de sua plataforma SFTP.
Os serviços de software da empresa incluem soluções de empréstimos, processamento de pagamentos, plataformas de varejo e bancárias habilitadas para nuvem, e ferramentas de gerenciamento de risco de trading.
Brian Krebs foi o primeiro a reportar que a Finastra sofreu uma violação de segurança ontem, após ver uma notificação de violação de dados enviada a uma pessoa impactada.
Acredita-se que o ataque esteja ligado a uma postagem recente em um fórum de hacking, onde um ator de ameaça de nome "abyss0" afirmou estar vendendo 400GB de dados roubados da Finastra.
Quando questionado sobre a postagem no fórum, um porta-voz da Finastra não confirmou nem negou se os dados pertenciam a eles, apenas disse que haviam sofrido uma violação de segurança de escopo limitado e estão atualmente avaliando seu impacto.
"Em 7 de novembro de 2024, o Security Operations Center (SOC) da Finastra detectou atividade suspeita relacionada a uma plataforma Secure File Transfer Platform (SFTP) hospedada internamente que usamos para enviar arquivos a certos clientes," disse a Finastra.
Imediatamente iniciamos uma investigação ao lado de uma empresa terceirizada de cibersegurança e, como medida de precaução, isolamos e contivemos a plataforma.
Este incidente foi limitado a uma única plataforma e não houve movimentação lateral além dela.
A empresa também esclareceu que a plataforma SFTP comprometida não era utilizada por todos os seus clientes, nem era a plataforma padrão utilizada pela Finastra para a troca de arquivos.
No entanto, o impacto exato e o escopo de sua violação ainda estão sendo investigados, e determinar quem foi impactado pode levar um tempo até que seja concluído.
Aqueles que forem considerados impactados serão contatados diretamente, portanto, não são esperados anúncios públicos da Finastra.
Vale ressaltar que o ator de ameaça que publicou as amostras de dados no início deste mês desde então deletou a postagem, então se os dados foram vendidos a um comprador ou se 'abyss0' ficou preocupado com a súbita publicidade é desconhecido.
Em março de 2020, a Finastra sofreu outro grande incidente de cibersegurança quando foi atingida por atores de ransomware.
Naquela ocasião, a empresa de fintech foi forçada a tirar partes de sua infraestrutura de TI do ar em resposta à ameaça, o que causou interrupções no serviço.
Embora os meios de acesso inicial fossem desconhecidos, relatórios de plataformas de monitoramento de ameaças destacaram a estratégia de gerenciamento de vulnerabilidades da empresa como fraca, observando que ela estava usando versões mais antigas do Pulse Secure VPN e servidores Citrix.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...