A Urpay, fintech de pagamentos que foi apontada pela Juíza Bianca Ruffolo Chojniak da 6º Vara Cível de Santo André como um 'braço' da Unick Forex, suposta pirâmide financeira de Bitcoin alvo da Operação Lamanai da Polícia Federal, vazou dados de 1,6 milhões de clientes devido a uma falha em sua API de pagamentos, segundo revelou a ITALTEL Digital Security.

O vazamento atinge não só os clientes da empresa mas cerca de 40 instituições financeiras pois a Urpay é o intermediário de pagamentos entre lojas e bancos ela armazena as transações de diversas instituições financeiras, como CAIXA, Nubank, Banco Inter, Itaú, Bradesco, Santander e Banco do Brasil.

No total, segundo a ITATEL, o hack conseguiu acessar e roubar mais de 500 mil documentos pessoais. Segundo apurou o portal Tecmundo junto ao CEO da empresa, José André da Costa, o vazamento teria ocorrido por uma falha an API de pagamentos da empresa que permite com que qualquer pessoa possa ter acesso aos dados.


“Essa API em questão realmente é pública, ela é para um serviço de consultas de pagamentos pelos usuários que usavam a plataforma URPay para receber e enviar pagamentos”, escreveu José Costa.

Ainda segundo a ITATEL o hacker responsável pelo vazamento dos documentos vendeu os dados na “PaiDoc Store”, uma espécie de marketplace para cibercriminosos da deep web e focado em venda de documentos roubados. Entre os dados havia selfies, documentos (RG e CPF) além de informações pessoais como transações financeiras, data de nascimento, endereço, entre outros. Os dados podem ser comprados com Bitcoin.

"Então basicamente se tem alguma informação que está sendo exposta, é devido a permissão do próprio usuário titular da conta que está fazendo a consulta ou alguém a quem ele recebeu ou enviou um pagamento e disponibilizou a "autenticação" para a respectiva consulta. Se alguém está vendendo esses dados eu não sei quem é mais "esperto", quem acha que pegou dados realmente "vazados" ou quem pensa que realmente está comprando dados "vazados". Como a URPay vendeu sua carteira de clientes em Dezembro de 2019, essas APIs eram para estarem desativadas, provavelmente deve ter alguma ativa ainda, logo todas serão desativadas totalmente”., finalizou o CEO culpando os usuários pelo vazamento.

Como vem noticiando o Cointelegraph, a Urpay é acusada de atuar como 'braço' financeiro para operações da Unick Forex e, por meio de decisão da Juíza Bianca Ruffolo Chojniak da 6º Vara Cível de Santo André, foi incluída em pelo menos uma ação judicial aberta por um cliente da Unick que não recebeu os valores aplicados na suposta pirâmide de Bitcoin.

Segundo a juíza como a Unick atuava no mercado oferecendo investimentos sem a autorização da Comissão de Valores Mobiliários (CVM) e usava a Urpay para processar pagamentos e receber dinheiro dos investidores a instituição também deve ser responsabilizada sob o argumento de 'responsabilidade solidária'. A Urpay nega qualquer ligação com a Unick Forex e diz que apenas processa pagamentos da empresa que segundo investigação da Polícia Federal chegou a mais de R$ 28 bilhões.