Após vazamento, XP admite acesso indevido a base de dados, mas nega ataque hacker: o que sabemos até agora
A falha só foi comunicada aos clientes um mês depois do ocorrido. À reportagem do Seu Dinheiro, a XP nega que seus sistemas ou recursos tenham sido comprometidos
A XP enviou nesta quinta-feira (24) um comunicado a clientes informando que dados pessoais foram acessados de forma indevida após uma falha em um fornecedor externo. O incidente ocorreu no dia 22 de março, mas só foi comunicado agora, um mês depois.
Apesar de listar informações que foram de fato acessadas — como nome, telefone, e-mail, data de nascimento e dados sobre produtos financeiros contratados —, a empresa descarta qualquer risco maior.
- VEJA MAIS: Ação brasileira da qual ‘os gringos gostam’ tem potencial para subir mais de 20% em breve; saiba o porquê
O trecho do e-mail encaminhado nesta quinta detalha os dados envolvidos:
“Identificamos os seguintes dados de sua titularidade dentre as informações acessadas:
- Dados cadastrais, como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
- Dados sobre os produtos financeiros contratados, sem os respectivos detalhamentos, limitando-se às informações binárias, como se possui ou não cartão de crédito e débito, seguro, consórcio, previdência e portabilidade de salário. Reiteramos que seus recursos estão em segurança.
- Dados como o número de sua conta na XP, saldo, posição, nome do assessor e limite de crédito, referentes ao mês de março. Reforçamos que a sua conta não foi acessada, nenhuma operação foi feita e seus recursos estão seguros e protegidos”.
Ainda que o conteúdo caracterize um vazamento de informações, a XP minimiza os riscos e sustenta que não houve acesso a credenciais ou dados sensíveis, como CPF, documentos, senhas, biometria ou assinaturas eletrônicas.
Além disso, o comunicado reforça que não há qualquer evidência de operações financeiras não autorizadas e que “suas informações pessoais não estão sendo compartilhadas ou divulgadas de forma pública. Portanto, não é necessária nenhuma ação por sua parte”.
Leia Também
No entanto, a XP também alertou sobre o risco de golpes digitais e técnicas típicas do phishing — golpe em que criminosos utilizam dados roubados para enganar usuários e obter informações mais sensíveis como senhas e contas bancárias.
“Por conta do ocorrido, desconfie de ligações telefônicas em nome da XP sobre procedimentos de segurança e reconhecimento de compras ou transações, e nunca altere ou realize qualquer ação no aplicativo sob orientação de qualquer contato telefônico. A XP não solicita dados de senhas, token ou qualquer código recebido por sms ou e-mail”, informou a empresa.
- VEJA TAMBÉM: Como não cair na malha fina? Guia do Imposto de Renda 2025 do Seu Dinheiro ensina o passo a passo
Uma tempestade em copo d’água?
“Não houve invasão, não houve ataque hacker”. A afirmação, feita pela assessoria da XP durante uma ligação com o Seu Dinheiro, resume o posicionamento da empresa sobre o incidente de segurança.
Já em nota à imprensa, a XP classifica o ocorrido como “um acesso indevido a uma base de dados que se encontrava hospedada em um fornecedor externo, contendo informações parciais de clientes”.
Segundo a corretora, a falha foi detectada rapidamente, e não houve comprometimento de recursos, senhas ou dados que permitam movimentações financeiras.
A empresa também informou que notificou as autoridades competentes e logo iniciou uma investigação para avaliar o impacto da ocorrência. Após essa apuração, concluiu que “os recursos dos clientes e da própria instituição estão seguros, protegidos e não sofreram qualquer tipo de impacto”.
O que falta esclarecer
Chama a atenção a distância entre a data do ocorrido, 22 de março, e a data de comunicação aos clientes, 24 de abril.
Em conversa com o Seu Dinheiro, a assessoria de imprensa da XP confirmou que o evento de fato ocorreu em março e justificou o intervalo de um mês até a notificação como necessário para a conclusão da apuração interna.
A demora, no entanto, reacende o debate sobre a aplicação da Lei Geral de Proteção de Dados (LGPD), que prevê a comunicação aos titulares de dados em tempo razoável, especialmente em casos de risco.
Entre outras lacunas que permanecem está a dimensão exata da base de dados exposta — quantos clientes se tornaram vulneráveis devido a esse acesso — e que tipo de contrato a XP mantém com o fornecedor externo que armazenava as informações.
Também não foram detalhadas as medidas estruturais que evitariam novos acessos indevidos.
COMPARTILHAR
3tentos (TTEN3): veja por que Bank of America, XP e BBA compartilham otimismo com a ação, que já avança 30% em 2025
Vemos a 3tentos como uma história de crescimento sólida no setor agrícola, com um forte histórico, como demonstrado pela sua expansão no MT nos últimos 4 anos, diz Bank of America
Petrobras (PETR4) diz que é “possível” assumir operação na Braskem, prepara projeto de transição energética e retomará produção de fertilizantes
A presidente da estatal afirmou que não há nada fechado, mas que poderia “exercer mais sinergias” entre a atividade de uma petroquímica, Braskem, com a de uma petroleira, a Petrobras
ANS nega recurso da Hapvida (HAPV3), e empresa terá de reapresentar balanço à agência com ajustes de quase R$ 870 milhões
A empresa havia contabilizado o crédito fiscal relacionado ao programa, que prevê a negociação com desconto de dívidas das empresas de saúde suplementar com o Sistema Único de Saúde (SUS)
Super ricaços na mira: Lifetime acelera a disputa por clientes que têm mais de R$ 10 milhões para investir e querem tratamento especial, afirma CEO
O CEO Fernando Katsonis revelou como a gestora pretende conquistar clientes ‘ultra-high’ e o que está por trás da contratação de Christiano Ehlers para o Family Office
Game of Thrones, Friends, Harry Potter e mais: o que a Netflix vai levar em acordo bilionário com a Warner
Compra bilionária envolve HBO, DC, Cartoon Network e séries de peso; integração deve levar até 18 meses
A guerra entre Nubank e Febraban esquenta. Com juros e impostos no centro da briga, quais os argumentos de cada um?
Juros, inadimplência, tributação e independência regulatória dividem fintechs e grandes instituições financeiras. Veja o que dizem
Depois de escândalo com Banco Master, Moody’s retira ratings do BRB por risco de crédito
O rebaixamento dos ratings do BRB reflete preocupações significativas com seus processos e controles internos, atualmente sob investigação devido a operações suspeitas envolvendo a aquisição de carteiras de crédito, diz a agência
Cyrela (CYRE3) e SLC (SLCE3) pagam R$ 1,3 bilhão em dividendos; Eztec (EZTC3) aumentará capital em R$ 1,4 bilhão com bonificação em ações
A maior fatia da distribuição de proventos foi anunciada pela Cyrela, já o aumento de capital da Eztec com bonificação em ações terá custo de R$ 23,53 por papel e fará jus a dividendos
Gol (GOLL54) é notificada pelo Idec por prática de greenwashing a viajantes; indenização é de R$ 5 milhões
No programa “Meu Voo Compensa”, os próprios viajantes pagavam a taxa de compensação das emissões. Gol também dizia ter rotas neutras em carbono
Se todo mundo acha que é uma bolha, não é: veja motivos pelos quais o BTG acredita que a escalada da IA é real
Banco aponta fundamentos sólidos e ganhos de produtividade para justificar alta das empresas de tecnologia, afastando o risco de uma nova bolha
Produção de cerveja no Brasil cai, principalmente para Ambev (ABEV3) e Heineken (HEIA34); preço das bebidas subiu demais, diz BTG
A Ambev aumentou os preços de suas marcas no segundo trimestre do ano, seguida pela Heineken, em julho — justamente quando as vendas começaram a encolher
Vale (VALE3) desafia a ordem de pagar R$ 730 milhões à União; mercado gosta e ações sobem mais de 1%
Em comunicado à Comissão de Valores Mobiliários (CVM), a mineradora alega que a referida decisão foi proferida em primeira instância, “portanto, seu teor será objeto de recursos cabíveis”
De seguro pet a novas regiões: as apostas da Bradesco Seguros para destravar o próximo ciclo de crescimento num mercado que engatinha
Executivos da seguradora revelaram as metas para 2026 e descartam possibilidade de IPO
Itaú com problema? Usuários relatam falhas no app e faturas pagas aparecendo como atrasadas
Usuários dizem que o app do Itaú está mostrando faturas pagas como atrasadas; banco admite instabilidade e tenta normalizar o sistema
Limpando o nome: Bombril (BOBR4) tem plano de recuperação judicial aprovado pela Justiça de SP
Além da famosa lã de aço, ela também é dona das marcas Mon Bijou, Limpol, Sapólio, Pinho Bril, Kalipto e outras
Vale (VALE3) fecha acima de R$ 70 pela primeira vez em mais de 2 anos e ganha R$ 10 bilhões a mais em valor de mercado
Os papéis VALE3 subiram 3,23% nesta quarta-feira (3), cotados a R$ 70,69. No ano, os ativos acumulam ganho de 38,64% — saiba o que fazer com eles agora
O que faz a empresa que tornou brasileira em bilionária mais jovem do mundo
A ascensão de Luana Lopes Lara revela como a Kalshi criou um novo modelo de mercado e impulsionou a brasileira ao posto de bilionária mais jovem do mundo
Área técnica da CVM acusa Ambipar (AMBP3) de violar regras de recompra e pede revisão de voto polêmico de diretor
O termo de acusação foi assinado pelos técnicos cerca de uma semana depois da polêmica decisão do atual presidente interino da autarquia que dispensou o controlador de fazer uma OPA pela totalidade da companhia
Nubank (ROXO34) agora busca licença bancária para não mudar de nome, depois de regra do Banco Central
Fintech busca licença bancária para manter o nome após norma que restringe uso do termo “banco” por instituições sem autorização
Vapza, Wittel: as companhias que podem abrir capital na BEE4, a bolsa das PMEs, em 2026
A BEE4, que se denomina “a bolsa das PMEs”, tem um pipeline de, pelo menos, 10 empresas que irão abrir capital em 2026
