Informativo ROIT:Atualização sobre Segurança da Informação
Estamos escrevendo para informá-lo(a), em linha com nosso
compromisso de transparência, sobre um incidente de segurança
identificado e tratado em nossa infraestrutura em 21 de abril de 2026.
Este comunicado descreve o que ocorreu, o que confirmamos até o
momento e as medidas tomadas.
O que aconteceu?
Em 21 de abril de 2026, recebemos reporte responsável de um pesquisador
de segurança externo, apontando que um de nossos sistemas de
orquestração de workflows estava com configuração inadequada de
controle de acesso — o que permitia, a usuários externos, consultar
metadados sobre operações em execução.
Iniciamos contenção imediata e concluímos a contenção técnica dentro do
mesmo dia. Paralelamente, nossa equipe técnica reproduziu o cenário do
vetor de acesso em ambiente controlado para entender exatamente o que
esteve e o que não esteve disponível.
IMPORTANTE: Ressaltamos que não há quaisquer evidências de acesso
não autorizados a seus dados.
O que foi tecnicamente acessível?
Os endpoints afetados permitiam visualizar:
• Nomes de workflows operacionais — que podem conter identificação de
clientes em operações de processamento fiscal e de integração
• Timestamps de execução de operações
• Referências (caminhos de armazenamento) para documentos
processados
• Nomes e tipos de integrações configuradas (sem valores sensíveis).
O que foi confirmado como NÃO acessível:
Nossa investigação técnica e reprodução controlada do vetor confirmaram
que os seguintes não foram acessíveis:
• Conteúdo dos documentos processados (XMLs fiscais, PDFs, cargas de
integração)
• Valores de credenciais, chaves ou tokens em texto claro
• Dados transacionais ou bancos de dados de negócio
• Capacidade de modificar ou injetar dados no sistema.
Controles arquiteturais próprios da ROIT — incluindo modificações internas
no motor de orquestração e segregação rigorosa do armazenamento de
documentos — funcionaram como projetado e impediram acesso a dados
operacionais dos clientes, mesmo com a falha de acesso no endpoint
externo.
Ações realizadas:
• Contenção imediata do acesso não autenticado
• Reprodução controlada do vetor para documentação técnica
• Rotação preventiva de credenciais internas (iniciada)
• Preservação de logs para análise forense
• Investigação em andamento de eventual uso não autorizado durante a
janela de exposição
Impacto ao seu ambiente.
Com base nas evidências coletadas até a data deste comunicado, não
identificamos evidência de acesso não autorizado aos seus dados por meio
desta exposição. Continuaremos monitorando e, caso identifiquemos
indício específico que afete sua operação, entraremos em contato
proativamente e individualmente.
Como medida preventiva, caso você mantenha integrações com a ROIT
que utilizem tokens ou chaves de acesso por você fornecidos,
recomendamos considerar rotação dessas credenciais. Se preferir
coordenar essa rotação com nossa equipe, seu gerente de conta está à
disposição.
Próximos passos:
Nos próximos dias continuaremos:
• Concluindo a investigação forense em logs de sistema
• Executando melhorias estruturais para prevenir recorrência, incluindo
revisão de políticas de acesso, fortalecimento de ingress e monitoramento
ampliado
• Comunicando atualizações materiais que porventura surjam na análise.
Estamos à disposição para responder perguntas técnicas ou de
conformidade. Entre em contato por:
csi@roit.com.br
Agradecemos sua confiança e reiteramos nosso compromisso com a
segurança e a transparência.
Atenciosamente,
compromisso de transparência, sobre um incidente de segurança
identificado e tratado em nossa infraestrutura em 21 de abril de 2026.
Este comunicado descreve o que ocorreu, o que confirmamos até o
momento e as medidas tomadas.
O que aconteceu?
Em 21 de abril de 2026, recebemos reporte responsável de um pesquisador
de segurança externo, apontando que um de nossos sistemas de
orquestração de workflows estava com configuração inadequada de
controle de acesso — o que permitia, a usuários externos, consultar
metadados sobre operações em execução.
Iniciamos contenção imediata e concluímos a contenção técnica dentro do
mesmo dia. Paralelamente, nossa equipe técnica reproduziu o cenário do
vetor de acesso em ambiente controlado para entender exatamente o que
esteve e o que não esteve disponível.
IMPORTANTE: Ressaltamos que não há quaisquer evidências de acesso
não autorizados a seus dados.
O que foi tecnicamente acessível?
Os endpoints afetados permitiam visualizar:
• Nomes de workflows operacionais — que podem conter identificação de
clientes em operações de processamento fiscal e de integração
• Timestamps de execução de operações
• Referências (caminhos de armazenamento) para documentos
processados
• Nomes e tipos de integrações configuradas (sem valores sensíveis).
O que foi confirmado como NÃO acessível:
Nossa investigação técnica e reprodução controlada do vetor confirmaram
que os seguintes não foram acessíveis:
• Conteúdo dos documentos processados (XMLs fiscais, PDFs, cargas de
integração)
• Valores de credenciais, chaves ou tokens em texto claro
• Dados transacionais ou bancos de dados de negócio
• Capacidade de modificar ou injetar dados no sistema.
Controles arquiteturais próprios da ROIT — incluindo modificações internas
no motor de orquestração e segregação rigorosa do armazenamento de
documentos — funcionaram como projetado e impediram acesso a dados
operacionais dos clientes, mesmo com a falha de acesso no endpoint
externo.
Ações realizadas:
• Contenção imediata do acesso não autenticado
• Reprodução controlada do vetor para documentação técnica
• Rotação preventiva de credenciais internas (iniciada)
• Preservação de logs para análise forense
• Investigação em andamento de eventual uso não autorizado durante a
janela de exposição
Impacto ao seu ambiente.
Com base nas evidências coletadas até a data deste comunicado, não
identificamos evidência de acesso não autorizado aos seus dados por meio
desta exposição. Continuaremos monitorando e, caso identifiquemos
indício específico que afete sua operação, entraremos em contato
proativamente e individualmente.
Como medida preventiva, caso você mantenha integrações com a ROIT
que utilizem tokens ou chaves de acesso por você fornecidos,
recomendamos considerar rotação dessas credenciais. Se preferir
coordenar essa rotação com nossa equipe, seu gerente de conta está à
disposição.
Próximos passos:
Nos próximos dias continuaremos:
• Concluindo a investigação forense em logs de sistema
• Executando melhorias estruturais para prevenir recorrência, incluindo
revisão de políticas de acesso, fortalecimento de ingress e monitoramento
ampliado
• Comunicando atualizações materiais que porventura surjam na análise.
Estamos à disposição para responder perguntas técnicas ou de
conformidade. Entre em contato por:
csi@roit.com.br
Agradecemos sua confiança e reiteramos nosso compromisso com a
segurança e a transparência.
Atenciosamente,