Braço de pagamentos da Shopee sofre vazamento de chaves Pix

O Banco Central do Brasil emitiu nessa semana um novo alerta para perda de dados ligados ao meio automático de pagamento, causado por problemas pontuais no sistema da instituição. A subsidiária do e-commerce ainda não se pronunciou, mas segundo o Bacen, apenas dados cadastrais foram expostos

Compartilhar:

O Banco Central do Brasil detectou o vazamento de informações pessoais relacionadas a 150 chaves Pix, que estavam sob tratamento da SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA., braço de meios de pagamento da empresa de e-commerce Shopee. O vazamento teria ocorrido entre os dias 2 e 4 de setembro.

 

Segundo informa o Bacen, as causas do incidente de segurança foram falhas pontuais em sistemas da instituição. Apesar disso, não foram expostos dados sensíveis que estivessem sob sigilo bancário, como senhas, registros transacionais ou saldos financeiros em contas.

 

Entretanto, além das próprias chaves, as informações comprometidas incluem nome do usuário, CPF, instituição de relacionamento, agência bancária, número e tipo da conta. Devido à natureza cadastral desses dados, a autoridade monetária reafirmou que as instituições financeiras apenas utilizam canais oficiais para contato, alertando para o risco de phishing.

 

“As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail”, escreve a nota.

 

O Banco Central também informa que foram adotadas ações necessárias para a apuração detalhada do caso e as medidas sancionadoras previstas na regulação vigente serão aplicadas. A Security Report entrou em contato com a Shopee em busca de mais informações, mas não houve retorno até a publicação dessa matéria, que será atualizada tão logo a empresa se pronuncie.

 

O Banco Central do Brasil tem mantido a prática de prestar contas ao público a cada nova detecção de comprometimento de dados ligados às chaves Pix. Até o momento, foram registrados nove incidentes do tipo em 2024, sendo o último envolvendo o BTG Pactual, que esclareceu à época que o vazamento não era fruto de nenhuma invasão ao sistema interno.

 

A Unicred do Brasil também foi alvo de um incidente similar, atingindo especificamente três das unidades cooperadas. Nesses dois casos, apenas dados cadastrais foram comprometidos, sem a perda de registros sensíveis ao usuário ou que pudessem levar a transferências indevidas de valores.

 

A Security Report publica, na íntegra, nota do Banco Central do Brasil:

 

“Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados às chaves Pix sob a guarda e a responsabilidade da SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA. (Shopee), em razão de falhas pontuais em sistemas dessa instituição.

 

Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.

 

As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.

 

O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.

 

Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.

 

Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo”.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Jaguar Land Rover confirma vazamento de dados em ciberataque

Em nova atualização sobre o incidente cibernético que paralisou fábricas e pontos de venda da montadora, foi informado que o...
Security Report | Destaques

Novas normas de SI do Bacen ampliam foco sobre Ecossistema seguro, apontam CISOs

Líderes de Segurança da Informação ligados ao sistema financeiro apoiaram as novas exigências de Segurança para que instituições financeiras possam...
Security Report | Destaques

J.Macêdo aposta em unificação de infraestrutura para reforçar segurança

Durante o Security Leaders Fortaleza 2025, empresa cearense destaca como modernizou suas operações para garantir continuidade produtiva e reduzir riscos...
Security Report | Destaques

“Não basta proteger sistemas, temos que garantir serviços digitais com segurança ao cidadão”, diz Prodeb

Durante o Security Leaders Fortaleza 2025, a Companhia de Processamento de Dados do Estado da Bahia (Prodeb) apresentou seu novo...