1 pontos por GN⁺ 2025-11-14 | 1 comentários | Compartilhar no WhatsApp
  • A plataforma de pagamentos Checkout.com foi alvo de uma tentativa de extorsão por um grupo de cibercriminosos, mas se recusou a pagar o resgate e, em vez disso, doou o valor para pesquisa em cibersegurança
  • Os invasores obtiveram acesso não autorizado a um sistema legado de armazenamento de arquivos em nuvem de terceiros, usado antes de 2020, e conseguiram obter alguns dados
  • A Checkout.com afirmou explicitamente que a plataforma de processamento de pagamentos, os fundos dos comerciantes e os dados de cartão não foram afetados de forma alguma
  • A empresa estima que menos de 25% de todos os comerciantes possam ter sido impactados e está cooperando com autoridades policiais e órgãos reguladores
  • Foram feitas doações para a Carnegie Mellon University e o University of Oxford Cyber Security Center, reafirmando transparência e confiança como valores centrais do setor

Visão geral do incidente

  • Na semana passada, a Checkout.com foi contatada por um grupo criminoso chamado “ShinyHunters”, que alegou ter obtido dados relacionados à Checkout.com e exigiu um resgate
  • A investigação constatou que os atacantes obtiveram acesso não autorizado a um sistema terceirizado de armazenamento de arquivos em nuvem usado antes de 2020
    • Esse sistema era usado para armazenar documentos operacionais internos e materiais de onboarding de comerciantes
    • A Checkout.com reconheceu como um erro o fato de esse sistema não ter sido desativado adequadamente
  • A empresa afirmou que o incidente não afetou a plataforma de processamento de pagamentos e que os invasores não conseguiram acessar fundos dos comerciantes nem números de cartão

Impacto e medidas de resposta

  • A Checkout.com estima atualmente que menos de 25% dos comerciantes possam ter sido afetados
  • A empresa está em processo de identificar os comerciantes impactados e contatá-los individualmente, além de cooperar com as autoridades policiais e os órgãos reguladores relevantes
  • A Checkout.com enfatizou transparência e responsabilidade, expressando a intenção de manter a confiança de parceiros e clientes

Recusa do resgate e decisão de doar

  • A Checkout.com declarou que não pagará resgate a criminosos
  • Em vez disso, o valor exigido no ataque foi doado como apoio à pesquisa sobre cibercrime para a Carnegie Mellon University e o University of Oxford Cyber Security Center
  • A empresa afirmou que transformará este incidente em uma oportunidade de ampliar os investimentos em segurança em todo o setor

Posição e compromisso da empresa

  • A Checkout.com afirmou que “segurança, transparência e confiança são a base do setor” e disse que reconhece o erro e protegerá os comerciantes
  • A empresa também destacou que investirá no combate a atividades criminosas que ameaçam a economia digital
  • Comerciantes podem solicitar suporte por meio de seus canais habituais de contato com a Checkout

Conclusão

  • Com este incidente, a Checkout.com demonstrou uma postura firme diante da extorsão cibernética e busca fortalecer a capacidade de defesa de todo o setor por meio de doações para pesquisa em segurança
  • A empresa está focada em restaurar a confiança dos comerciantes por meio de divulgação transparente e medidas responsáveis

1 comentários

 
GN⁺ 2025-11-14
Opiniões no Hacker News
  • Alguns anos atrás, membros do ShinyHunters foram presos pelo FBI
    Eu estive na mesma prisão que um deles, Sebastian Raoult, e conversei bastante com ele
    A persistência que eles demonstravam em ataques de phishing em larga escala era impressionante. Foi assim que conseguiram a maior parte dos acessos; fora isso, procuravam endpoints de API no GitHub e vasculhavam em busca de chaves vazadas
    Ele não gostava muito do scanner automático do GitHub
    Artigo relacionado: comunicado do Departamento de Justiça dos EUA

    • Em geral, em cibersegurança, as pessoas costumam ser o elo mais fraco
      Então não surpreende que eles tenham conseguido acesso por meio de engenharia social
      O interessante é que eles próprios também podem ser vítimas de engenharia social. Pessoas que criam exploits para jogos online e atraem hackers jovens acabam montando uma estrutura para ganhar dinheiro de forma mais segura
    • É lamentável ter ido para uma prisão federal por operar um site de streaming esportivo
      Fico curioso se usavam hospedagem ilegal ou se foram rastreados por meio de um provedor de pagamentos
      Também queria saber se o site, como o Sportsurge, só fornecia links ou se hospedava os streams de fato
    • Fico curioso se ele não gostava do scanner do GitHub porque era eficaz demais e atrapalhava as atividades deles, ou porque ele o considerava incompetente
    • Gostaria de ouvir uma explicação mais concreta do que significa “a persistência para phishing em larga escala é impressionante”
  • Na nota de desculpas da empresa,

    “We are sorry. We regret that this incident has caused worry for our partners and people...”
    gostei muito dessa parte. Mesmo que tenha sido escrita por um LLM ou pela equipe de PR, pareceu uma frase sincera

    • Sempre que vejo esse tipo de pedido de desculpas, lembro da cena de paródia da BP em South Park
      Mais importante do que o pedido de desculpas em si é a análise da causa raiz e as medidas para evitar reincidência.
      Para recuperar a confiança, é preciso revelar quantos outros sistemas legados que lidavam com dados de clientes ainda existiam e quem barrou o orçamento
      Um pedido de desculpas verdadeiro deve aparecer não em palavras, mas em compensação
    • “We are sorry.” soa revigorante por ser uma expressão rara para empresas
    • Em vez de “We are fully committed to maintaining your trust.”, acho que “rebuilding your trust” seria mais apropriado
    • Uma resposta mais dura, como “pagaremos US$ 500 mil a quem fornecer informações que levem à prisão dos responsáveis”, talvez transmitisse mais confiança
    • Gostei de não haver clichês como “due to an abundance of caution”. No geral, parece uma resposta exemplar
  • Se eu fosse cliente, estaria irritado, mas acho que esta resposta foi a melhor possível dentro do cenário

    • Resposta rápida, divulgação voluntária pela empresa, pedido de desculpas sincero, explicação do alcance do dano — atendeu à maioria dos critérios
    • Mas se tudo terminar em “pedimos desculpas”, o setor vai enfrentar um desastre ainda maior
      responsabilidade legal, reembolsos e regulação mais rígida também precisam acompanhar isso
    • Dizem que foi uma “resposta rápida”, mas eles não detectaram o hack por conta própria, e só divulgaram depois que o atacante entrou em contato, então fica a dúvida se foi realmente rápida
    • Do ponto de vista do cliente, talvez a escolha de “pagar o resgate para evitar o vazamento de dados” tivesse sido melhor
      Seria bom divulgar também os resultados da auditoria e o post-mortem em nome da transparência
  • A doação parece mais uma ação de imagem do que uma melhoria real de segurança
    Mais importante é seguir as práticas de segurança já conhecidas. Esse dinheiro deveria ter sido investido em contratar responsáveis por segurança ou fortalecer os sistemas
    (Referência: o hack ocorreu em um sistema legado que não havia sido desativado)

    • Eu vejo essa doação como uma provocação aos criminosos. A mensagem é: “temos dinheiro, mas não vamos dar para vocês”
      Em vez de simples sinalização de virtude, isso soa como um sinal de que “não cedemos a exigências de resgate”
    • Ainda assim, não é ruim emitir um sinal positivo numa situação dessas
      Se tivessem pago o resgate, provavelmente teriam incentivado ainda mais ataques
      Mesmo perdendo dinheiro, faz sentido escolher um destino mais valioso para ele
    • Neste momento, eu diria que ostentar virtude é melhor do que ostentar vício
    • “Virtue signaling” costuma ser usado para criticar atitudes hipócritas, mas, num caso como este, não negociar com criminosos e apoiar pesquisa em segurança é a direção certa no longo prazo
    • Ainda assim, do ponto de vista do cliente, pagar o resgate pode acabar reduzindo o dano.
      Há o efeito colateral de financiar criminosos, mas, se não pagarem, os clientes também podem acabar sofrendo um prejuízo maior
  • A frase “o atacante obteve acesso por meio de um sistema de armazenamento em nuvem de terceiros” soa um pouco como tentativa de se esquivar da responsabilidade

    • Fico curioso sobre o quanto a resposta da empresa teria mudado se os atacantes tivessem colocado as mãos até mesmo em dados sensíveis
    • A maioria dos codebases das empresas ainda está cheia de tecnologias legadas
      Mesmo quando acontece um incidente desses, ele vira motivo de chacota por uma semana e acaba. No fim, quase não há mudança estrutural
  • Acho que esse tipo de resposta pública e doação foi uma decisão corajosa
    Segurança perfeita é impossível, e ainda é difícil criticar com firmeza antes de sair o post-mortem
    Valorizo o fato de terem divulgado sem esconder e a abordagem voltada ao interesse público por meio de doação à academia

    • No Hacker News, há uma tendência de tratar uma postura cínica como se fosse uma forma de superioridade intelectual
  • Quando vejo a frase “sistema usado para documentos operacionais internos e materiais de onboarding de comerciantes”, imagino que provavelmente se trate de documentos coletados no processo de KYC
    Ou seja, podem incluir documentos da empresa ou digitalizações de passaportes e documentos de identidade
    Esse tipo de dado traz alto risco de roubo de identidade e pode continuar válido por anos

    • Mas é improvável que digitalizações de passaporte tenham sido armazenadas junto de documentos KYB comuns
      Desde o GDPR, esse tipo de dado sensível costuma ficar em uma zona de segurança separada
      Provavelmente era apenas um repositório de PDFs ou formulários usado pela equipe de onboarding
  • Mesmo que “menos de 25% dos clientes tenham sido afetados”, se eu estivesse entre eles, seria difícil me satisfazer com um gesto sem compensação

  • “OXCIS” significa Oxford Centre for Islamic Studies, então provavelmente não é isso
    A instituição que recebeu a doação parece ser o centro de pesquisa em Cyber Security da Universidade de Oxford

    • Cyber Security Oxford é uma comunidade de pesquisa em cibersegurança vinculada à Universidade de Oxford
  • Pela minha experiência trabalhando no setor de fintech, o que vazou desta vez parece ter sido documentação KYB de comerciantes
    Isso é material usado para avaliação de risco empresarial e não é tão sensível quanto informações de pagamento ou PAN
    Claro que um hack é algo ruim, mas esse tipo de dado às vezes é informação pública
    Valorizo o fato de a empresa ter feito uma divulgação transparente disso

    • Mas documentos KYB muitas vezes incluem passaportes e IDs fiscais dos beneficiários finais ou diretores
      Portanto, também existe risco de roubo de identidade voltado a pessoas de alta renda