A XP informou seus clientes por e-mail, nesta quinta-feira (24), que houve um acesso não autorizado a uma base de dados hospedada em um fornecedor externo, ocorrido em há um mês atrás.
Para a advogada Camila Camargo, consultora da Andersen Ballão Advocacia e especialista em proteção de dados, "o incidente evidencia que nem grandes players estão imunes a falhas e nos alerta para os cuidados com segurança da informação e proteção de dados pessoais. A dependência de prestadores de serviços terceirizados exige uma revisão criteriosa de contratos com tais terceiros e o monitoramento de conformidade mediante auditorias e due diligence pré e pós contratual."
Segundo ela, "o caso é um lembrete de que a proteção de dados precisa deixar de ser um plano de contingência e passar a ser uma prática estrutural, integrada e capaz de servir ao negócio. A presença de controles eficientes e um programa de privacidade robusto é o que torna uma empresa capaz de responder com rapidez a casos como incidentes."//
Nota oficial
Em nota oficial, a XP diz que:
Em 22/03/25, tomamos conhecimento de que uma base de dados que se encontrava hospedada em um fornecedor externo da XP teve um acesso não autorizado. Imediatamente efetivamos o bloqueio deste acesso. Sua conta e seus investimentos estão em total segurança, pois nenhum sistema da XP foi acessado. A utilização dos nossos aplicativos e sites pode continuar sendo realizada normalmente e não é necessário alterar sua senha.
Nenhuma operação financeira foi realizada, seus recursos estão seguros e protegidos. Não foram acessadas informações como senha, assinatura eletrônica e biometria, e nem mesmo seu CPF ou documento de identidade. Suas informações pessoais não estão sendo compartilhadas ou divulgadas de forma pública. Portanto, não é necessária nenhuma ação por sua parte.
Atuamos preventivamente para garantir a segurança e a integridade de dados. Assim que tivemos conhecimento dos fatos, iniciamos uma investigação em detalhe de forma a conhecer sua extensão e informamos imediatamente às autoridades competentes.
Identificamos os seguintes dados de sua titularidade dentre as informações acessadas:
Dados cadastrais, como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
Dados sobre os produtos financeiros contratados, sem os respectivos detalhamentos, limitando-se às informações binárias, como se possui ou não cartão de crédito e débito, seguro, consórcio, previdência e portabilidade de salário. Reiteramos que seus recursos estão em segurança.
Dados como o número de sua conta na XP, saldo, posição, nome do assessor e limite de crédito, referentes ao mês de março. Reforçamos que a sua conta não foi acessada, nenhuma operação foi feita e seus recursos estão seguros e protegidos.
Por conta do ocorrido, desconfie de ligações telefônicas em nome da XP. sobre procedimentos de segurança e reconhecimento de compras ou transações, e nunca altere ou realize qualquer ação no aplicativo sob orientação de qualquer contato telefônico. A XP não solicita dados de senhas, token ou qualquer código recebido por SMS ou e-mail. Se você ficar em dúvida sobre algum contato suspeito, procure nossos canais oficiais de atendimento. Dicas sobre segurança na sua vida financeira podem ser lidas aqui.
Lamentamos profundamente o ocorrido e queremos reforçar o nosso compromisso com a transparência e com a total segurança dos seus dados. Reforçamos que o acesso indevido foi prontamente interrompido.
