O Banco Central do Brasil divulgou neste fim de semana a ocorrência de um novo vazamento de dados vinculados a chaves Pix. Conforme informou a instituição, dados de 50 chaves diferentes foram expostas devido a falhas pontuais nos sistemas da CashWay Tecnologia da Informação S.A., organização que tinha tais registros mantidos sob guarda e responsabilidade.
Segundo informa o BC, a perda das informações teria ocorrido entre os dias 31 de março e 3 de abril de 2025. Nomes de usuário, CPF, instituição de relacionamento, agência e número de conta foram perdidos durante o vazamento. A autoridade reforça, todavia, que informações sensíveis ou sob sigilo bancário mantiveram-se protegidos nesse período.
“O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente. Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação”, acrescenta o comunicado.
Assim como em outros casos, muito embora esses dados sejam de natureza cadastral e, portanto, não permitam movimentação de recursos, acessos às contas ou a outras informações financeiras, tais dados podem ser usados para alimentar operações de phishing contra as vítimas da perda, permitindo gerar verossimilhança em mensagens maliciosas cujo objetivo é comprometer dados mais críticos.
Dessa forma, o Banco Central alerta: “As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail”.
A Security Report entrou em contato com a CashWay em busca de mais informações a respeito das causas desse vazamento apontado pela autoridade monetária. Entretanto, nenhum retorno foi enviado até o momento da publicação, e por isso, essa nota será atualizada tão logo a companhia se pronuncie a respeito.
O Banco Central notificou apenas outro incidente de exposição de dados vinculados ao Pix neste 2025, devido a falhas de sistema pontuais na QI SCD S.A. À época, dados cadastrais de 25.349 chaves Pix foram comprometidos, incluindo nome do usuário, CPF com máscara, instituição de relacionamento, agência, número e tipo da conta.
A Security Report publica, na íntegra, o posicionamento tornado público pelo Banco Central:
Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da Cashway Tecnologia da Informação S.A., em razão de falhas pontuais em sistemas dessa instituição.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo.
