Após vazamento, XP admite acesso indevido a base de dados, mas nega ataque hacker: o que sabemos até agora

A XP enviou nesta quinta-feira (24) um comunicado a clientes informando que dados pessoais foram acessados de forma indevida após uma falha em um fornecedor externo. O incidente ocorreu no dia 22 de março, mas só foi comunicado agora, um mês depois.

Apesar de listar informações que foram de fato acessadas — como nome, telefone, e-mail, data de nascimento e dados sobre produtos financeiros contratados —, a empresa descarta qualquer risco maior. 

• VEJA MAIS: Ação brasileira da qual ‘os gringos gostam’ tem potencial para subir mais de 20% em breve; saiba o porquê

O trecho do e-mail encaminhado nesta quinta detalha os dados envolvidos:

“Identificamos os seguintes dados de sua titularidade dentre as informações acessadas:

• Dados cadastrais, como nome, telefone, e-mail, data de nascimento, CEP, estado civil, gênero, cargo e nacionalidade.
• Dados sobre os produtos financeiros contratados, sem os respectivos detalhamentos, limitando-se às informações binárias, como se possui ou não cartão de crédito e débito, seguro, consórcio, previdência e portabilidade de salário. Reiteramos que seus recursos estão em segurança.
• Dados como o número de sua conta na XP, saldo, posição, nome do assessor e limite de crédito, referentes ao mês de março. Reforçamos que a sua conta não foi acessada, nenhuma operação foi feita e seus recursos estão seguros e protegidos”.

Ainda que o conteúdo caracterize um vazamento de informações, a XP minimiza os riscos e sustenta que não houve acesso a credenciais ou dados sensíveis, como CPF, documentos, senhas, biometria ou assinaturas eletrônicas.

Além disso, o comunicado reforça que não há qualquer evidência de operações financeiras não autorizadas e que “suas informações pessoais não estão sendo compartilhadas ou divulgadas de forma pública. Portanto, não é necessária nenhuma ação por sua parte”.

No entanto, a XP também alertou sobre o risco de golpes digitais e técnicas típicas do phishing — golpe em que criminosos utilizam dados roubados para enganar usuários e obter informações mais sensíveis como senhas e contas bancárias.

“Por conta do ocorrido, desconfie de ligações telefônicas em nome da XP sobre procedimentos de segurança e reconhecimento de compras ou transações, e nunca altere ou realize qualquer ação no aplicativo sob orientação de qualquer contato telefônico. A XP não solicita dados de senhas, token ou qualquer código recebido por sms ou e-mail”, informou a empresa.

• VEJA TAMBÉM: Como não cair na malha fina? Guia do Imposto de Renda 2025 do Seu Dinheiro ensina o passo a passo

Uma tempestade em copo d’água?

“Não houve invasão, não houve ataque hacker”. A afirmação, feita pela assessoria da XP durante uma ligação com o Seu Dinheiro, resume o posicionamento da empresa sobre o incidente de segurança.

Já em nota à imprensa, a XP classifica o ocorrido como “um acesso indevido a uma base de dados que se encontrava hospedada em um fornecedor externo, contendo informações parciais de clientes”.

Segundo a corretora, a falha foi detectada rapidamente, e não houve comprometimento de recursos, senhas ou dados que permitam movimentações financeiras.

A empresa também informou que notificou as autoridades competentes e logo iniciou uma investigação para avaliar o impacto da ocorrência. Após essa apuração, concluiu que “os recursos dos clientes e da própria instituição estão seguros, protegidos e não sofreram qualquer tipo de impacto”.

O que falta esclarecer

Chama a atenção a distância entre a data do ocorrido, 22 de março, e a data de comunicação aos clientes, 24 de abril.

Em conversa com o Seu Dinheiro, a assessoria de imprensa da XP confirmou que o evento de fato ocorreu em março e justificou o intervalo de um mês até a notificação como necessário para a conclusão da apuração interna.

A demora, no entanto, reacende o debate sobre a aplicação da Lei Geral de Proteção de Dados (LGPD), que prevê a comunicação aos titulares de dados em tempo razoável, especialmente em casos de risco.

Entre outras lacunas que permanecem está a dimensão exata da base de dados exposta — quantos clientes se tornaram vulneráveis devido a esse acesso — e que tipo de contrato a XP mantém com o fornecedor externo que armazenava as informações.

Também não foram detalhadas as medidas estruturais que evitariam novos acessos indevidos.