O Banco Central do Brasil detectou o vazamento de informações pessoais relacionadas a 150 chaves Pix, que estavam sob tratamento da SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA., braço de meios de pagamento da empresa de e-commerce Shopee. O vazamento teria ocorrido entre os dias 2 e 4 de setembro.
Segundo informa o Bacen, as causas do incidente de segurança foram falhas pontuais em sistemas da instituição. Apesar disso, não foram expostos dados sensíveis que estivessem sob sigilo bancário, como senhas, registros transacionais ou saldos financeiros em contas.
Entretanto, além das próprias chaves, as informações comprometidas incluem nome do usuário, CPF, instituição de relacionamento, agência bancária, número e tipo da conta. Devido à natureza cadastral desses dados, a autoridade monetária reafirmou que as instituições financeiras apenas utilizam canais oficiais para contato, alertando para o risco de phishing.
“As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail”, escreve a nota.
O Banco Central também informa que foram adotadas ações necessárias para a apuração detalhada do caso e as medidas sancionadoras previstas na regulação vigente serão aplicadas. A Security Report entrou em contato com a Shopee em busca de mais informações, mas não houve retorno até a publicação dessa matéria, que será atualizada tão logo a empresa se pronuncie.
O Banco Central do Brasil tem mantido a prática de prestar contas ao público a cada nova detecção de comprometimento de dados ligados às chaves Pix. Até o momento, foram registrados nove incidentes do tipo em 2024, sendo o último envolvendo o BTG Pactual, que esclareceu à época que o vazamento não era fruto de nenhuma invasão ao sistema interno.
A Unicred do Brasil também foi alvo de um incidente similar, atingindo especificamente três das unidades cooperadas. Nesses dois casos, apenas dados cadastrais foram comprometidos, sem a perda de registros sensíveis ao usuário ou que pudessem levar a transferências indevidas de valores.
A Security Report publica, na íntegra, nota do Banco Central do Brasil:
“Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados às chaves Pix sob a guarda e a responsabilidade da SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA. (Shopee), em razão de falhas pontuais em sistemas dessa instituição.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo”.
