Suposto hacker usou múltiplos acessos em diferentes estados e burlou sistema de reconhecimento facial
O influenciador digital Yuri Fonseca (@YuriFonseca_KC) publicou, na última segunda-feira (19), um vídeo nas redes sociais denunciando uma suposta invasão a uma conta da Cassino, plataforma de apostas esportivas bastante popular no Brasil. Segundo ele, o caso mostrou falhas críticas de segurança, incluindo vazamento de dados, múltiplos acessos suspeitos e a criação de uma fintech fraudulenta com uso indevido de reconhecimento facial.
“Eu recebi várias denúncias de invasões a contas. A sorte desse usuário é que ele estava logado na hora”, afirmou Victor. De acordo com o relato na rede social X (antigo Twitter), o suposto hacker acessou a conta enquanto ela ainda estava ativa, realizou o cash out de duas apostas abertas e tentou sacar os valores usando uma chave Pix vinculada a uma fintech criada no nome do próprio dono da conta.
O influenciador destaca que o golpe só foi evitado porque o usuário percebeu a movimentação em tempo real, relogou rapidamente e conseguiu trocar a senha antes que o valor fosse transferido. “Foi por muito pouco que o hacker não levou tudo”, enfatizou, mostrando o saldo da conta, que estava em mais de R$ 119 mil reais.
Durante o relato, Yuri apontou o histórico de login da conta, que exibia acessos em um curto intervalo de tempo a partir de Belém (PA), Belo Horizonte (MG) e Maceió (AL).
“O pessoal da arbitragem tem dinheiro, mas jato particular não é qualquer um não”, ironizou Victor, surpreso com acessos na conta em estados tão distantes com diferença de horas.
Outro alerta grave foi em relação ao reconhecimento facial exigido para saques.
“O hacker conseguiu burlar esse sistema. Pra fazer o saque precisa da facial, vocês sabem. Eu todo dia faço umas dez faciais aqui pra sacar”, disse o influenciador que trabalha com sinais na internet.
Yuri ainda deu um recado direto aos usuários. “Olha seu histórico de login. Se tiver outras cidades além da sua, tira o dinheiro na hora. Muda a senha, muda tudo. Muito, muito cuidado, viu?”, alertou.
A Cassino.bet foi procurada, mas informou que não irá se pronunciar sobre o caso. O espaço segue aberto para manifestação.
Sumário
Regula: verificação facial sem certificação é risco grave
A denúncia reacendeu o debate sobre os protocolos de segurança digital utilizados por plataformas de apostas. Para Alexandre Marinho, CEO da Regula Forensics, especializada em controle de fronteiras com atuação em mais de 82 países e que recentemente entrou no mercado brasileiro de bets, o problema não é apenas o acesso, mas a ausência de mecanismos robustos para impedir que ele gere prejuízos.
“O hacker simulou um meio de pagamento próprio e criou um Pix para essa fintech, tudo com dados da vítima. Mas o ponto central é que ele burlou o sistema de reconhecimento facial, o que, em um ambiente financeiro, deveria ser inaceitável”, afirma.
Segundo Alexandre, o erro pode estar na configuração do grau de similaridade do FaceMatch, tecnologia que compara imagens faciais.
“Para ambientes como bancos, o ideal é exigir 90% ou mais. Quando se reduz esse índice para 80%, já se corre um risco elevado. Mas há casos — e relatos — de empresas operando com níveis de apenas 10%, o que é absurdo. Isso é o mesmo que dizer: bota a foto de um Rottweiler que vai passar”, criticou.
A Regula utiliza como referência a certificação iBeta nível 2, exigida por órgãos internacionais para garantir que o sistema de liveness detection (prova de vida) não seja enganado por imagens ou vídeos falsos. “Sem essa certificação, qualquer sistema pode ser manipulado por deepfakes ou fotos vazadas. E se o hacker teve acesso ao banco de dados, ele pode simular um rosto e enganar o sistema com facilidade”, explicou.
Geolocalização
Outro ponto destacado por Alexandre é o rastreamento de geolocalização, que deveria impedir transações incompatíveis com a presença física do usuário.
“Em nossa solução, se uma pessoa faz um Pix na Barra da Tijuca e depois tenta outro em Duque de Caxias em minutos, o sistema identifica que o deslocamento é humanamente impossível e bloqueia a operação”, exemplifica.
Falta de preparo técnico
Alexandre também alertou sobre a escolha de soluções baratas e amadoras por parte das empresas de apostas.
“Comprar uma solução de uma empresa que está há quatro ou cinco anos no mercado, que junta ferramentas de fornecedores diversos e vende como produto final, é um risco enorme”, disse.
Segundo ele, o barato pode sair caro.
“Quem trabalha com dinheiro de terceiros precisa se precaver com soluções certificadas, testadas e de confiança. Do contrário, o prejuízo pode ser muito maior”, finalizou.
