A equipe de pesquisa da Cybernews, uma publicação especializada em segurança cibernética, descobriu recentemente uma falha no processo de armazenamento da startup inChurch, uma empresa de desenvolvimento de aplicativos, sites e sistemas de gestão para igrejas evangélicas. Os dados revelam que problema expôs mais de 9,2 milhões de arquivos, resultando no vazamento de quase um milhão de informações sensíveis de membros de igrejas.
De acordo com a Cybernews, a falha da startup religiosa em configurar adequadamente a autenticação dos buckets de armazenamento – recipientes virtuais para armazenar e gerenciar dados de forma organizada – levou à exposição de um backup antigo do banco de dados. Esse arquivo continha uma vasta quantidade de dados pessoais, incluindo CPF, e-mail, endereços residenciais, datas de nascimento e de batismo, igreja de origem do usuário, entre outros.
Em nota, Rafael Reis, diretor de tecnologia da inChurch afirmou que a pasta com os arquivos vazados era utilizada como repositório e estava configurada de forma que possibilitaria acesso limitado a alguns dados pessoais. De acordo com Reis, as únicas informações sensíveis acessíveis seriam os referentes à crença religiosa, como data de batismo e vínculo com a igreja. “Nenhum dado financeiro poderia ser acessado”, afirma.
Em entrevista ao Estadão, Vincentas Baubonis, diretor de pesquisa de segurança da Cybernews, conta que a equipe de pesquisas da publicação monitora e verifica diversas fontes em busca de metadados que já foram vazados a partir de endereços de IP e motores de busca, assim, conseguiram descobrir o vazamento na inChurch.
Quando questionada pela Cybernews, a inChurch negou ter encontrado evidências de um vazamento malicioso de informações sensíveis. Entretanto, por meio de capturas de tela, a publicação especializada afirma a veracidade da descoberta, embora tenha ressaltado que, devido a práticas de segurança, não foi possível validar de forma independente os dados vazados. “Entramos em contato com a empresa para assegurar a proteção das informações e, desde então, não identificamos nenhum outro vazamento”, explicou Baubonis.
Reis também afirma que não houve acesso às bases de dados ou servidores de produção e a configuração foi prontamente atualizada após o vazamento. O representante da inChuch explica que todos os ajustes feitos foram validados por uma empresa internacional certificada. “A inChurch investe e continuará investindo em tecnologia, segurança, treinamentos periódicos e vigilância constante”, diz.
Fundada em 2017 e com sede no Rio de Janeiro, a inChurch começou oferecendo uma plataforma que possibilitava às igrejas evangélicas digitalizar e profissionalizar diversos setores. Com a implementação de aplicativos, sites, totens e máquinas de pagamento, a empresa ganhou destaque no mercado. Atualmente, atende a mais de cinco mil clientes no Brasil e a 45 mil em todo o mundo.
Vazamento de dados no Brasil
O que aconteceu com as informações dos fiéis da startup religiosa é apenas uma parte de um grande amontoado de dados liberados todos os dias no país: números da Surfshark, empresa de segurança cibernética, mostram que mais de 5,3 milhões de contas em sites foram vazadas apenas no primeiro trimestre de 2024, um aumento de 587% em relação ao mesmo período do ano passado. Isso representa um salto de 6 para 41 contas comprometidas por minuto.
Além disso, desde 2004, o Brasil teve um total de 1,2 bilhões de registros pessoais expostos e um acumulado de 354,2 milhões de contas violadas, colocando o país em sexta posição no ranking de países mais atingidos por vazamentos no mundo.
Diou Faria, gerente da Surfshark no Brasil, atribui esse aumento a fatores globais de cibersegurança, como tensões geopolíticas e a implementação de legislações mais rigorosas, que impulsionam o desenvolvimento de novas técnicas de ataques cibernéticos.
Como prevenção para os usuários diminuírem os riscos de vazamento de dados e, consequentemente, os crimes cibernéticos, Faria indica a mudança imediata de senhas, caso haja divulgação indevida. Em casos de informações financeiras, o usuário deve contatar a instituição responsável o quanto antes e, se necessário, congelar suas contas.
“Uma das coisas mais importantes quando se trata de manter-se seguro após um vazamento de dados é a vigilância. Por exemplo, se o e-mail de um usuário foi vazado, ele pode receber um e-mail de golpe em que hackers tentam extrair sua senha ou outras informações pessoais. Se o usuário for resiliente e não cair nesses golpes, então ele poderá se proteger”, diz Faria.
