O Banco Central do Brasil publicou hoje (30), mais uma notificação alertando para vazamento de dados relacionados a chaves Pix. Dessa vez, 53.383 chaves foram afetadas, e estavam sob a guarda e responsabilidade da startup Qesh. Este é o segundo maior incidente de vazamento de dados de Pix em 2024, ficando apenas abaixo do ocorrido com a Sumup, em março de 2024, que expôs dados de mais de 87 mil usuários do meio de pagamento.
Da mesma forma que as outras situações, apenas dados cadastrais foram expostos pelo incidente: nome do usuário, CPF, instituição de relacionamento, número da conta e agência bancária. Mesmo assim, o alerta do Bacen responde à necessidade de alertar o público para o uso dessas informações em campanhas de phishing ou outros meios de fraude. Os dados foram expostos entre os dias 10 e 19 de setembro.
“As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail”, acrescenta a nota da autoridade monetária.
Por meio de nota enviada à Folha de S. Paulo, a Qesh afirma que o vazamento está relacionado a uma tentativa de invasão aos sistemas de um dos clientes da startup. A questão já estaria resolvida e a vítima atingida foi notificada e teve seu acesso bloqueado. Mesmo assim, o Banco Central reafirma que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
“A ação visava fraudar contas, mas foi bloqueada, e as tentativas resultaram em consultas repetidas de confirmação de chaves Pix, gerando um comportamento anômalo. O ataque se deu exclusivamente no ambiente do cliente e todas as medidas necessárias foram tomadas, incluindo a notificação das autoridades e órgãos reguladores competentes.”, acrescenta a empresa ao jornal.
A Qesh também reafirmou o uso de múltiplas camadas de proteção e monitoramento constante da própria estrutura de tecnologia. As tentativas de fraude das contas não atingiram o sistema da fintech e foram detectadas e bloqueadas.
Esta é também a segunda ocorrência de vazamento de dados apontada pelo Banco Central neste mês de setembro. No último dia 20, também foi detectado o vazamento de informações pessoais relacionadas a 150 chaves Pix, que estavam sob tratamento da SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA., braço de meios de pagamento da empresa de e-commerce Shopee.
A Security Report publica, na íntegra, nota publicada pelo Banco Central do Brasil:
“Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da Qesh Instituição de Pagamento LTDA (Qesh), em razão de falhas pontuais em sistemas dessa instituição.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo”.
*Com informações da Folha de S. Paulo e do Portal G1
