O Banco Central informou por meio de nota divulgada ao mercado que dados pessoais ligados à 644 chaves Pix foram comprometidos devido a um incidente de segurança na Caixa Econômica Federal, instituição responsável por esse conjunto de dados vazados. Este é o 16º vazamento do Pix em 2024, já considerado o ano com mais comprometimentos desde que o BC passou a registrar essas ocorrências, em 2021.
De acordo com a autoridade monetária, o vazamento teria sido detectado entre os dias 24 e 25 de setembro deste ano, comprometendo informações como nome do usuário, CPF, instituição de relacionamento, agência, número e tipo e da conta, data de abertura da conta, data de criação da chave Pix e data a partir da qual o usuário tem a posse dessa chave.
O Bacen ainda informa que não foram expostos dados como senhas bancárias, registros de transações financeiras nem os saldos atuais dos usuários, e apenas com essas informações, não há possibilidade de movimentação de recursos, acesso às contas ou outras atividades bancárias, mas ainda podem servir de insumos para eventuais campanhas de phishing.
“As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail”, reforçou o comunicado do Banco Central.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, a Instituição decidiu comunicar o evento à sociedade, em prol da transparência. “O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente”, conclui a mensagem.
A Security Report entrou em contato com a Caixa Econômica Federal em busca de algum posicionamento da companhia. Em nota, a Caixa informa que identificou um incidente pontual envolvendo as informações das chaves Pix, mas a situação foi rapidamente identificada e corrigida pelo banco, e os clientes foram notificados.
O último vazamento do Pix também se deu no mês de setembro, quando dados de mais de 53 mil chaves foram comprometidos a partir de um incidente ocorrido na startup financeira Qesh. Em nota, a companhia informou que o vazamento estava relacionado a uma tentativa de invasão aos sistemas de um dos clientes internos, e que a questão já estaria resolvida.
A Security Report publica, na íntegra, notas divulgadas pelo Banco Central e pela Caixa Econômica Federal:
Banco Central
“Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da Caixa Econômica Federal, em razão de falhas pontuais em sistemas dessa instituição.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo.”
Caixa
“A CAIXA informa que identificou incidente pontual envolvendo as informações das chaves Pix de 644 clientes.
Não foram acessados dados sigilosos ou quaisquer outras informações de natureza bancária, fiscal ou patrimonial.
A situação foi rapidamente identificada e corrigida pelo banco, e os clientes foram notificados.
O banco reafirma seu compromisso com a segurança e a privacidade dos dados de seus clientes e destaca que aperfeiçoa, continuamente, os critérios de segurança em seus canais, produtos e serviços”.