Em um ano de funcionamento e com mais de 381 milhões chaves ativas, o sistema instantâneo de pagamento Pix registrou hoje (21) o segundo vazamento de dados. De acordo com a nota oficial do Banco Central do Brasil (BC), houve um incidente de Segurança vinculado à Acesso Soluções de Pagamentos, expondo dados cadastrais de 160.147 chaves Pix, inclusive nome do usuário, CPF, instituição de relacionamento, número da agência e da conta.
Tanto a Acesso quanto o Banco Central reforçaram que não foram expostos dados sensíveis como senhas, saldos ou transações financeiras sob sigilo bancário. “As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, diz o BC.
Especialistas em Segurança Cibernética ouvidos pela reportagem da Security Report informam que este vazamento tem pouca utilidade prática, pois dados como agência, conta e instituição de uma pessoa não são informações relevantes para que fraudadores apliquem golpes. Cibercriminosos preferem usar de meios como engenharia social para fazer com que um indivíduo realize um Pix.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação. Além disso, o BC adotou as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação vigente, inclusive com processo administrativo punitivo.
Isso significa que pode haver penalidade à Acesso como multa e inabilitação para atuar como administrador e para exercer cargo em órgão previsto em estatuto ou em contrato social de pessoa mencionada no caput do art. 2º desta Lei. Adicionalmente, a Acesso está sujeita à aplicação de multa por descumprir os dispositivos do Regulamento do Pix, conforme previsto na Resolução BCB nº 177, de 22 de dezembro de 2021.
O comunicado do Banco Central reforça que os clientes afetados pelo incidente serão notificados pela Acesso por meio do aplicativo ou pelo internet banking.
O primeiro incidente envolvendo cadastros de chave Pix aconteceu em agosto de 2021 com o Banco do Estado de Sergipe S.A. (Banese). Na ocasião, foram expostos dados cadastrais vinculados a 414.526 chaves Pix, incluindo nome do usuário, CPF, instituição de relacionamento, número da agência e da conta.
A Security Report disponibiliza o comunicado da Acesso na íntegra:
“Mantendo a nossa transparência, comunicamos que identificamos consultas indevidas a dados relacionados às chaves PIX a partir da plataforma da Acesso Soluções de Pagamento no Diretório de Identificadores de Contas Transacionais (DICT).
Não foram expostos dados sensíveis como senhas, informações de movimentações, saldos financeiros em contas transacionais ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, apenas. Dados estes que não permitem movimentação de recursos, acesso às contas ou a qualquer outra informação financeira.
Os usuários afetados pelo vazamento dos dados serão comunicados diretamente pelas instituições em que a chave PIX está registrada.
Reforçamos que tomamos, de forma tempestiva, todas as providências necessárias para garantir a segurança das informações mantidas pela Companhia e o nosso compromisso em manter o mercado e nossos parceiros informados.”
