- A plataforma de pagamentos Checkout.com foi alvo de uma tentativa de extorsão por um grupo de cibercriminosos, mas se recusou a pagar o resgate e, em vez disso, doou o valor para pesquisa em cibersegurança
- Os invasores obtiveram acesso não autorizado a um sistema legado de armazenamento de arquivos em nuvem de terceiros, usado antes de 2020, e conseguiram obter alguns dados
- A Checkout.com afirmou explicitamente que a plataforma de processamento de pagamentos, os fundos dos comerciantes e os dados de cartão não foram afetados de forma alguma
- A empresa estima que menos de 25% de todos os comerciantes possam ter sido impactados e está cooperando com autoridades policiais e órgãos reguladores
- Foram feitas doações para a Carnegie Mellon University e o University of Oxford Cyber Security Center, reafirmando transparência e confiança como valores centrais do setor
Visão geral do incidente
- Na semana passada, a Checkout.com foi contatada por um grupo criminoso chamado “ShinyHunters”, que alegou ter obtido dados relacionados à Checkout.com e exigiu um resgate
- A investigação constatou que os atacantes obtiveram acesso não autorizado a um sistema terceirizado de armazenamento de arquivos em nuvem usado antes de 2020
- Esse sistema era usado para armazenar documentos operacionais internos e materiais de onboarding de comerciantes
- A Checkout.com reconheceu como um erro o fato de esse sistema não ter sido desativado adequadamente
- A empresa afirmou que o incidente não afetou a plataforma de processamento de pagamentos e que os invasores não conseguiram acessar fundos dos comerciantes nem números de cartão
Impacto e medidas de resposta
- A Checkout.com estima atualmente que menos de 25% dos comerciantes possam ter sido afetados
- A empresa está em processo de identificar os comerciantes impactados e contatá-los individualmente, além de cooperar com as autoridades policiais e os órgãos reguladores relevantes
- A Checkout.com enfatizou transparência e responsabilidade, expressando a intenção de manter a confiança de parceiros e clientes
Recusa do resgate e decisão de doar
- A Checkout.com declarou que não pagará resgate a criminosos
- Em vez disso, o valor exigido no ataque foi doado como apoio à pesquisa sobre cibercrime para a Carnegie Mellon University e o University of Oxford Cyber Security Center
- A empresa afirmou que transformará este incidente em uma oportunidade de ampliar os investimentos em segurança em todo o setor
Posição e compromisso da empresa
- A Checkout.com afirmou que “segurança, transparência e confiança são a base do setor” e disse que reconhece o erro e protegerá os comerciantes
- A empresa também destacou que investirá no combate a atividades criminosas que ameaçam a economia digital
- Comerciantes podem solicitar suporte por meio de seus canais habituais de contato com a Checkout
Conclusão
- Com este incidente, a Checkout.com demonstrou uma postura firme diante da extorsão cibernética e busca fortalecer a capacidade de defesa de todo o setor por meio de doações para pesquisa em segurança
- A empresa está focada em restaurar a confiança dos comerciantes por meio de divulgação transparente e medidas responsáveis
Ainda não há comentários.