O Banco Central (BC) comunicou, nesta quinta-feira (3), que houve um novo vazamento de dados relacionados ao Pix, sistema de pagamentos instantâneos. A falha envolve a instituição financeira Logbank Soluções em Pagamentos S/A.
Segundo o comunicado, as informações vazadas estão vinculadas a 2.112 chaves Pix e foram de “natureza cadastral”. Neste caso, as informações vazadas contêm o nome do usuário, o CPF, a instituição de relacionamento e o número da conta.
“Apesar da baixa quantidade de dados envolvidos, o BC sempre adota o princípio da transparência nesse tipo de ocorrência. Como nos casos anteriores, não foram expostos dados sensíveis, a ANPD [Autoridade Nacional de Proteção de Dados] foi avisada e as pessoas afetadas serão notificadas”, diz o BC, por nota.
Publicidade
Este é a terceira ocorrência de vazamento de dados relacionados ao Pix nos últimos meses: o primeiro, anunciado em setembro de 2021, envolveu o Banco de Sergipe e mais de 414 mil chaves Pix vazadas; e mais recentemente, no início de janeiro, a instituição Acesso Soluções de Pagamento também teve dados vinculados a 160 mil chaves vazados.
Confira:
| Período do incidente | Instituição envolvida no incidente | Natureza dos dados potencialmente expostos |
|---|---|---|
| 24 e 25 de janeiro de 2022 | Logbank Soluções em Pagamentos S/A (Logbank) | Dados cadastrais vinculados a 2.112 chaves Pix: nome do usuário, CPF, instituição de relacionamento e número da conta. |
| 3 a 5 de dezembro de 2021 (informado em janeiro) | Acesso Soluções de Pagamento S.A. (Acesso) | Dados cadastrais vinculados a 160.147 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta. |
| 24 de agosto de 2021 (informado em setembro) | Banco do Estado de Sergipe S.A. (Banese) | Dados cadastrais vinculados a 414.526 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta. Informações vinculadas a chaves Pix para fins de segurança. |
Impactos para os usuários
A sequência de vazamentos mancha a credibilidade do Pix, aderido por 117,7 milhões de usuários que fizeram 382 milhões de chaves cadastradas. O sistema já ultrapassa 1,46 bilhões em transações feitas desde que entrou em operação, em novembro de 2020.
“Os vazamentos estão ficando cada vez mais comuns e preocupam, mas, geralmente, como aconteceu neste caso, a falha é direta da instituição financeira. Não há nenhum problema nos sistemas do BC ou do Pix. Por algum erro na instituição, em seu app ou site, o vazamento ocorreu.”, diz Marcelo Martins, fundador da Pay Ventures, e que faz parte do grupo de trabalho do Pix no BC.
Exclusivo para novos clientes
CDB 230% do CDI
Destrave o seu acesso ao investimento que rende mais que o dobro da poupança e ganhe um presente exclusivo do InfoMoney
Ao informar os dados, você concorda com a nossa Política de Privacidade.
Baixe uma planilha gratuita que compara a rentabilidade dos seus ativos de renda fixa:[/newsletter-signup]
“A empresa avisa os clientes e o BC avisa todas as instituições participantes do Pix. Caso algum cliente delas esteja envolvido, eles também serão avisados por elas. Ou seja, o incidente aconteceu na empresa A, mas a empresa B, se tiver cliente envolvido, também precisa informá-lo”, acrescenta.
Comparado com os dois casos recentes, este vazamento é de menor magnitude, mas de qualquer maneira os usuários precisam ficar atentos.
Continua depois da publicidade
Vale lembrar que as chaves Pix funcionam como uma identificação do usuário dentro do sistema, que permite que o mesmo somente receba valores.
“Isso significa que mesmo em posse dessa informação, não é possível o acesso ao saldo ou a lançamentos da conta ou a realização de pagamentos e nem transferências”, diz o BC.
A grande preocupação é com a chamada engenharia social. “O vazamento pode ser utilizado para aplicação de golpes, como, por exemplo, o golpista tentar persuadir a vítima de que é um funcionário do banco para tentar obter as credenciais de senha do usuário”, completa o BC.
Recentemente, o Pix serviu de ferramenta para criminosos roubarem R$ 6 milhões da pequena cidade de Crixás, no norte de Goiás. Os criminosos fizeram uso do desconhecimento e da confiança das vítimas para aplicar golpes financeiros com um sistema que transfere o dinheiro imediatamente.
“É uma falha de segurança, que expõe dados dos usuários, e não há risco imediato. Porém, com dados como esses em mãos, os criminosos podem tentar aplicar os golpes de engenharia social, podem mandar um e-mail para vítima pedindo a troca da senha da conta, por exemplo, porque aconteceu o vazamento. E a pessoa cai. Esse é o risco: abre margem para várias tentativas de outros golpes”, avalia Rogerio Melfi, representante da ABFintechs.
Como se proteger?
- redobrar a atenção nas comunicações oficiais da instituição;
- não clicar em nenhum tipo de link suspeito, que não seja diretamente ligado aos canais do banco;
- ignorar qualquer tipo de telefonema ou e-mail suspeitos e procurar os canais oficiais do banco;
Por isso, o BC explica que os clientes afetados pelo vazamento serão notificados pela instituição financeira “exclusivamente por meio do aplicativo”.
E faz um alerta: “nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, explicou o órgão em nota.
Todas as instituições que operam e oferecem o Pix a clientes são fiscalizadas pelo Banco Central e precisam seguir regras específicas. Para evitar problemas, a dica é: cadastre chaves aleatórias que tenham menos informações pessoais possíveis.
Outro lado
O InfoMoney procurou o Banco Central para saber como a fiscalização vem sendo feita sobre os sistemas que envolvem o Pix. Em nota, o BC afirmou que possui “mecanismos de prevenção a ataques de leitura, com base na limitação de consultas sem liquidação ou inválidas, e de limitação de requisições ao sistema do DICT (que é a plataforma que armazena as informações das chaves Pix).”
Além disso, explicou que realiza o monitoramento das consultas às chaves Pix e uma série de ações de verificação de aderência da atuação dos participantes ao Regulamento do Pix.
A Logbank também foi contatada, confirmou o incidente em suas plataformas digitais nos dias 24 e 25 de janeiro de 2022.
“O incidente foi detectado e controlado instantaneamente pelas ferramentas e equipes de segurança. Nenhum dado sensível foi vazado e não houve qualquer movimentação financeira indevida ou prejuízo financeiro para os clientes relacionados com este incidente, cujo alcance permaneceu extremamente limitado”, disse a empresa em nota.
A empresa argumenta que os recursos dos clientes estão sob máxima vigilância e segurança, e que mantém uma rotina de comunicação com o BC e autoridades competentes, de forma a fortalecer os mecanismos de proteção.
