A violação de dados da FinWise em 2024 evidencia de forma clara a crescente ameaça interna enfrentada pelas instituições financeiras modernas.
Diferentemente dos ataques cibernéticos tradicionais, conduzidos por hackers externos, este incidente teve origem no acesso não autorizado de um ex-funcionário que utilizou credenciais retidas após deixar a empresa.
Em 31 de maio de 2024, esse ex-colaborador acessou os sistemas do FinWise Bank e vazou informações pessoais sensíveis de 689 mil clientes da American First Finance (AFF).
O que torna o caso ainda mais alarmante é que esse acesso indevido passou despercebido por mais de um ano, sendo descoberto somente em 18 de junho de 2025.
O ponto mais preocupante está justamente no intervalo entre a brecha e sua identificação.
O banco tomou conhecimento do incidente e notificou os clientes afetados apenas em junho de 2025, ultrapassando um ano desde o ocorrido.
Processos judiciais indicam que os dados roubados possivelmente não estavam devidamente criptografados nem protegidos, o que gerou críticas públicas e inquietação no mercado.
Especialistas em segurança reforçam que um framework eficiente de proteção da informação deve ir além da simples criptografia dos dados financeiros críticos.
É fundamental detectar proativamente e impedir tentativas anômalas de acesso.
A falha do FinWise Bank em implementar essas medidas básicas de segurança, associada a práticas possivelmente deficientes de criptografia, resultou em ações legais e maior escrutínio por parte de reguladores e clientes.
Embora a FinWise ainda não tenha se pronunciado oficialmente sobre sua política de criptografia, essa violação terá impactos irreversíveis para a empresa e seus clientes.
Incidentes como o da FinWise demonstram que a criptografia atua como última linha de defesa dos dados.
No entanto, uma proteção eficaz exige também um bom gerenciamento de chaves (key management) e controles rigorosos de acesso.
Se o FinWise tivesse implementado e administrado corretamente seus sistemas de criptografia, a exposição dos dados pessoais poderia ter sido evitada, mesmo após o incidente.
Além disso, uma gestão eficiente das chaves teria reduzido o risco de uso indevido da informação protegida.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...