Braço de pagamentos da Shopee sofre vazamento de chaves Pix

O Banco Central do Brasil emitiu nessa semana um novo alerta para perda de dados ligados ao meio automático de pagamento, causado por problemas pontuais no sistema da instituição. A subsidiária do e-commerce ainda não se pronunciou, mas segundo o Bacen, apenas dados cadastrais foram expostos

Compartilhar:

O Banco Central do Brasil detectou o vazamento de informações pessoais relacionadas a 150 chaves Pix, que estavam sob tratamento da SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA., braço de meios de pagamento da empresa de e-commerce Shopee. O vazamento teria ocorrido entre os dias 2 e 4 de setembro.

 

Segundo informa o Bacen, as causas do incidente de segurança foram falhas pontuais em sistemas da instituição. Apesar disso, não foram expostos dados sensíveis que estivessem sob sigilo bancário, como senhas, registros transacionais ou saldos financeiros em contas.

 

Entretanto, além das próprias chaves, as informações comprometidas incluem nome do usuário, CPF, instituição de relacionamento, agência bancária, número e tipo da conta. Devido à natureza cadastral desses dados, a autoridade monetária reafirmou que as instituições financeiras apenas utilizam canais oficiais para contato, alertando para o risco de phishing.

 

“As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail”, escreve a nota.

 

O Banco Central também informa que foram adotadas ações necessárias para a apuração detalhada do caso e as medidas sancionadoras previstas na regulação vigente serão aplicadas. A Security Report entrou em contato com a Shopee em busca de mais informações, mas não houve retorno até a publicação dessa matéria, que será atualizada tão logo a empresa se pronuncie.

 

O Banco Central do Brasil tem mantido a prática de prestar contas ao público a cada nova detecção de comprometimento de dados ligados às chaves Pix. Até o momento, foram registrados nove incidentes do tipo em 2024, sendo o último envolvendo o BTG Pactual, que esclareceu à época que o vazamento não era fruto de nenhuma invasão ao sistema interno.

 

A Unicred do Brasil também foi alvo de um incidente similar, atingindo especificamente três das unidades cooperadas. Nesses dois casos, apenas dados cadastrais foram comprometidos, sem a perda de registros sensíveis ao usuário ou que pudessem levar a transferências indevidas de valores.

 

A Security Report publica, na íntegra, nota do Banco Central do Brasil:

 

“Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados às chaves Pix sob a guarda e a responsabilidade da SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA. (Shopee), em razão de falhas pontuais em sistemas dessa instituição.

 

Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.

 

As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.

 

O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.

 

Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.

 

Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo”.

 

Conteúdos Relacionados

Security Report | Destaques

Prefeitura de Guajará-Mirim sofre invasão cibernética

Em nota, o executivo municipal confirmou que dados foram sequestrados pelo ataque, mas não comprovou a ação de um ransomware,...
Security Report | Destaques

Líderes de Cyber analisam novas ameaças à Segurança no Security Leaders Nacional

O Fórum Econômico Mundial alertou o mundo para as ameaças que a insegurança cibernética pode representar para a continuidade de...
Security Report | Destaques

Programa de SI busca elevar maturidade cibernética nos órgãos do governo federal

Devido às novas responsabilidades que o Brasil assumiu com a Segurança Cibernética, a Secretaria de Governo Digital estabeleceu um programa...
Security Report | Destaques

Ameaça ou copiloto: Qual o papel da IA no futuro da Cibersegurança?

Tanto empresas de consultoria quanto a indústria de Segurança da Informação têm buscado entender como alcançar o equilíbrio entre usos...