Vazamento é de menor porte se comparado aos eventos anteriores
O Banco Central (BC) comunicou, nesta quinta-feira (3), que houve um novo vazamento de dados relacionados ao Pix, sistema de pagamentos instantâneos. A falha envolve a instituição financeira Logbank Soluções em Pagamentos S/A.
Segundo o comunicado, as informações vazadas estão vinculadas a 2.112 chaves Pix e foram de “natureza cadastral”. Neste caso, as informações vazadas contêm o nome do usuário, o CPF, a instituição de relacionamento e o número da conta.
“Apesar da baixa quantidade de dados envolvidos, o BC sempre adota o princípio da transparência nesse tipo de ocorrência. Como nos casos anteriores, não foram expostos dados sensíveis, a ANPD [Autoridade Nacional de Proteção de Dados] foi avisada e as pessoas afetadas serão notificadas”, diz o BC, por nota.
Este é a terceira ocorrência de vazamento de dados relacionados ao Pix nos últimos meses: o primeiro, anunciado em setembro de 2021, envolveu o Banco de Sergipe e mais de 414 mil chaves Pix vazadas; e mais recentemente, no início de janeiro, a instituição Acesso Soluções de Pagamento também teve dados vinculados a 160 mil chaves vazados.
Confira:
Período do incidente | Instituição envolvida no incidente | Natureza dos dados potencialmente expostos |
---|---|---|
24 e 25 de janeiro de 2022 | Logbank Soluções em Pagamentos S/A (Logbank) | Dados cadastrais vinculados a 2.112 chaves Pix: nome do usuário, CPF, instituição de relacionamento e número da conta. |
3 a 5 de dezembro de 2021 (informado em janeiro) | Acesso Soluções de Pagamento S.A. (Acesso) | Dados cadastrais vinculados a 160.147 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta. |
24 de agosto de 2021 (informado em setembro) | Banco do Estado de Sergipe S.A. (Banese) | Dados cadastrais vinculados a 414.526 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta. Informações vinculadas a chaves Pix para fins de segurança. |
Impactos para os usuários
A sequência de vazamentos mancha a credibilidade do Pix, aderido por 117,7 milhões de usuários que fizeram 382 milhões de chaves cadastradas. O sistema já ultrapassa 1,46 bilhões em transações feitas desde que entrou em operação, em novembro de 2020.
“Os vazamentos estão ficando cada vez mais comuns e preocupam, mas, geralmente, como aconteceu neste caso, a falha é direta da instituição financeira. Não há nenhum problema nos sistemas do BC ou do Pix. Por algum erro na instituição, em seu app ou site, o vazamento ocorreu.”, diz Marcelo Martins, fundador da Pay Ventures, e que faz parte do grupo de trabalho do Pix no BC.
“A empresa avisa os clientes e o BC avisa todas as instituições participantes do Pix. Caso algum cliente delas esteja envolvido, eles também serão avisados por elas. Ou seja, o incidente aconteceu na empresa A, mas a empresa B, se tiver cliente envolvido, também precisa informá-lo”, acrescenta.
Comparado com os dois casos recentes, este vazamento é de menor magnitude, mas de qualquer maneira os usuários precisam ficar atentos.
Vale lembrar que as chaves Pix funcionam como uma identificação do usuário dentro do sistema, que permite que o mesmo somente receba valores.
“Isso significa que mesmo em posse dessa informação, não é possível o acesso ao saldo ou a lançamentos da conta ou a realização de pagamentos e nem transferências”, diz o BC.
A grande preocupação é com a chamada engenharia social. “O vazamento pode ser utilizado para aplicação de golpes, como, por exemplo, o golpista tentar persuadir a vítima de que é um funcionário do banco para tentar obter as credenciais de senha do usuário”, completa o BC.
Recentemente, o Pix serviu de ferramenta para criminosos roubarem R$ 6 milhões da pequena cidade de Crixás, no norte de Goiás. Os criminosos fizeram uso do desconhecimento e da confiança das vítimas para aplicar golpes financeiros com um sistema que transfere o dinheiro imediatamente.
“É uma falha de segurança, que expõe dados dos usuários, e não há risco imediato. Porém, com dados como esses em mãos, os criminosos podem tentar aplicar os golpes de engenharia social, podem mandar um e-mail para vítima pedindo a troca da senha da conta, por exemplo, porque aconteceu o vazamento. E a pessoa cai. Esse é o risco: abre margem para várias tentativas de outros golpes”, avalia Rogerio Melfi, representante da ABFintechs.
Como se proteger?
- redobrar a atenção nas comunicações oficiais da instituição;
- não clicar em nenhum tipo de link suspeito, que não seja diretamente ligado aos canais do banco;
- ignorar qualquer tipo de telefonema ou e-mail suspeitos e procurar os canais oficiais do banco;
Por isso, o BC explica que os clientes afetados pelo vazamento serão notificados pela instituição financeira “exclusivamente por meio do aplicativo”.
E faz um alerta: “nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, explicou o órgão em nota.
Todas as instituições que operam e oferecem o Pix a clientes são fiscalizadas pelo Banco Central e precisam seguir regras específicas. Para evitar problemas, a dica é: cadastre chaves aleatórias que tenham menos informações pessoais possíveis.
Outro lado
O InfoMoney procurou o Banco Central para saber como a fiscalização vem sendo feita sobre os sistemas que envolvem o Pix. Em nota, o BC afirmou que possui “mecanismos de prevenção a ataques de leitura, com base na limitação de consultas sem liquidação ou inválidas, e de limitação de requisições ao sistema do DICT (que é a plataforma que armazena as informações das chaves Pix).”
Além disso, explicou que realiza o monitoramento das consultas às chaves Pix e uma série de ações de verificação de aderência da atuação dos participantes ao Regulamento do Pix.
A Logbank também foi contatada, confirmou o incidente em suas plataformas digitais nos dias 24 e 25 de janeiro de 2022.
“O incidente foi detectado e controlado instantaneamente pelas ferramentas e equipes de segurança. Nenhum dado sensível foi vazado e não houve qualquer movimentação financeira indevida ou prejuízo financeiro para os clientes relacionados com este incidente, cujo alcance permaneceu extremamente limitado”, disse a empresa em nota.
A empresa argumenta que os recursos dos clientes estão sob máxima vigilância e segurança, e que mantém uma rotina de comunicação com o BC e autoridades competentes, de forma a fortalecer os mecanismos de proteção.
Fonte: InfoMoney