Mais um?

BC comunica vazamento de 2,1 mil chaves Pix da instituição financeira Logbank; veja como se proteger

Vazamento é de menor porte se comparado aos eventos anteriores

Por  Giovanna Sutto -

O Banco Central (BC) comunicou, nesta quinta-feira (3), que houve um novo vazamento de dados relacionados ao Pix, sistema de pagamentos instantâneos. A falha envolve a instituição financeira Logbank Soluções em Pagamentos S/A.

Segundo o comunicado, as informações vazadas estão vinculadas a 2.112 chaves Pix e foram de “natureza cadastral”. Neste caso, as informações vazadas contêm o nome do usuário, o CPF, a instituição de relacionamento e o número da conta.

“Apesar da baixa quantidade de dados envolvidos, o BC sempre adota o princípio da transparência nesse tipo de ocorrência. Como nos casos anteriores, não foram expostos dados sensíveis, a ANPD [Autoridade Nacional de Proteção de Dados] foi avisada e as pessoas afetadas serão notificadas”, diz o BC, por nota.

Este é a terceira ocorrência de vazamento de dados relacionados ao Pix nos últimos meses: o primeiro, anunciado em setembro de 2021, envolveu o Banco de Sergipe e mais de 414 mil chaves Pix vazadas; e mais recentemente, no início de janeiro, a instituição Acesso Soluções de Pagamento também teve dados vinculados a 160 mil chaves vazados.

Confira:

Período do incidenteInstituição envolvida no incidenteNatureza dos dados potencialmente expostos
​24 e 25 de janeiro de 2022​Logbank Soluções em Pagamentos S/A (Logbank)​Dados cadastrais vinculados a 2.112 chaves Pix: nome do usuário, CPF, instituição de relacionamento e número da conta.
3 a 5 de dezembro de 2021 (informado em janeiro)Acesso Soluções de Pagamento S.A. (Acesso)Dados cadastrais vinculados a 160.147 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta.
24 de agosto de 2021 (informado em setembro)Banco do Estado de Sergipe S.A. (Banese)Dados cadastrais vinculados a 414.526 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta. Informações vinculadas a chaves Pix para fins de segurança.

Impactos para os usuários

A sequência de vazamentos mancha a credibilidade do Pix, aderido por 117,7 milhões de usuários que fizeram 382 milhões de chaves cadastradas. O sistema já ultrapassa 1,46 bilhões em transações feitas desde que entrou em operação, em novembro de 2020.

“Os vazamentos estão ficando cada vez mais comuns e preocupam, mas, geralmente, como aconteceu neste caso, a falha é direta da instituição financeira. Não há nenhum problema nos sistemas do BC ou do Pix. Por algum erro na instituição, em seu app ou site, o vazamento ocorreu.”, diz Marcelo Martins, fundador da Pay Ventures, e que faz parte do grupo de trabalho do Pix no BC.

Calculadora de renda fixa
Baixe uma planilha gratuita que compara a rentabilidade dos seus investimentos de renda fixa:
Concordo que os dados pessoais fornecidos acima serão utilizados para envio de conteúdo informativo, analítico e publicitário sobre produtos, serviços e assuntos gerais, nos termos da Lei Geral de Proteção de Dados.
check_circle_outline Sua inscrição foi feita com sucesso.
error_outline Erro inesperado, tente novamente em instantes.
Baixe uma planilha gratuita que compara a rentabilidade dos seus ativos de renda fixa:[/newsletter-signup]

“A empresa avisa os clientes e o BC avisa todas as instituições participantes do Pix. Caso algum cliente delas esteja envolvido, eles também serão avisados por elas. Ou seja, o incidente aconteceu na empresa A, mas a empresa B, se tiver cliente envolvido, também precisa informá-lo”, acrescenta.

Comparado com os dois casos recentes, este vazamento é de menor magnitude, mas de qualquer maneira os usuários precisam ficar atentos.

Vale lembrar que as chaves Pix funcionam como uma identificação do usuário dentro do sistema, que permite que o mesmo somente receba valores.

“Isso significa que mesmo em posse dessa informação, não é possível o acesso ao saldo ou a lançamentos da conta ou a realização de pagamentos e nem transferências”, diz o BC.

A grande preocupação é com a chamada engenharia social. “O vazamento pode ser utilizado para aplicação de golpes, como, por exemplo, o golpista tentar persuadir a vítima de que é um funcionário do banco para tentar obter as credenciais de senha do usuário”, completa o BC.

Recentemente, o Pix serviu de ferramenta para criminosos roubarem R$ 6 milhões da pequena cidade de Crixás, no norte de Goiás. Os criminosos fizeram uso do desconhecimento e da confiança das vítimas para aplicar golpes financeiros com um sistema que transfere o dinheiro imediatamente.

“É uma falha de segurança, que expõe dados dos usuários, e não há risco imediato. Porém, com dados como esses em mãos, os criminosos podem tentar aplicar os golpes de engenharia social, podem mandar um e-mail para vítima pedindo a troca da senha da conta, por exemplo, porque aconteceu o vazamento. E a pessoa cai. Esse é o risco: abre margem para várias tentativas de outros golpes”, avalia Rogerio Melfi, representante da ABFintechs.

Como se proteger?

  • redobrar a atenção nas comunicações oficiais da instituição;
  • não clicar em nenhum tipo de link suspeito, que não seja diretamente ligado aos canais do banco;
  • ignorar qualquer tipo de telefonema ou e-mail suspeitos e procurar os canais oficiais do banco;

Por isso, o BC explica que os clientes afetados pelo vazamento serão notificados pela instituição financeira “exclusivamente por meio do aplicativo”.

E faz um alerta: “nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, explicou o órgão em nota.

Todas as instituições que operam e oferecem o Pix a clientes são fiscalizadas pelo Banco Central e precisam seguir regras específicas. Para evitar problemas, a dica é: cadastre chaves aleatórias que tenham menos informações pessoais possíveis.

Outro lado

O InfoMoney procurou o Banco Central para saber como a fiscalização vem sendo feita sobre os sistemas que envolvem o Pix. Em nota, o BC afirmou que possui “mecanismos de prevenção a ataques de leitura, com base na limitação de consultas sem liquidação ou inválidas, e de limitação de requisições ao sistema do DICT (que é a plataforma que armazena as informações das chaves Pix).”

Além disso, explicou que realiza o monitoramento das consultas às chaves Pix e uma série de ações de verificação de aderência da atuação dos participantes ao Regulamento do Pix.

A Logbank também foi contatada, confirmou o incidente em suas plataformas digitais nos dias 24 e 25 de janeiro de 2022.

“O incidente foi detectado e controlado instantaneamente pelas ferramentas e equipes de segurança. Nenhum dado sensível foi vazado e não houve qualquer movimentação financeira indevida ou prejuízo financeiro para os clientes relacionados com este incidente, cujo alcance permaneceu extremamente limitado”, disse a empresa em nota.

A empresa argumenta que os recursos dos clientes estão sob máxima vigilância e segurança, e que mantém uma rotina de comunicação com o BC e autoridades competentes, de forma a fortalecer os mecanismos de proteção.

Cadastre-se na IMpulso e receba semanalmente um resumo das notícias que mexem com o seu bolso — de um jeito fácil de entender:
Concordo que os dados pessoais fornecidos acima serão utilizados para envio de conteúdo informativo, analítico e publicitário sobre produtos, serviços e assuntos gerais, nos termos da Lei Geral de Proteção de Dados.
check_circle_outline Sua inscrição foi feita com sucesso.
error_outline Erro inesperado, tente novamente em instantes.
Compartilhe