Dados cadastrais vinculados a 160 mil chaves Pix são expostos na internet

Segundo o Banco Central do Brasil, incidente de Segurança foi na Acesso Soluções de Pagamento, expondo nome do usuário, CPF, instituição de relacionamento, número da agência e da conta

Compartilhar:

Em um ano de funcionamento e com mais de 381 milhões chaves ativas, o sistema instantâneo de pagamento Pix registrou hoje (21) o segundo vazamento de dados. De acordo com a nota oficial do Banco Central do Brasil (BC), houve um incidente de Segurança vinculado à Acesso Soluções de Pagamentos, expondo dados cadastrais de 160.147 chaves Pix, inclusive nome do usuário, CPF, instituição de relacionamento, número da agência e da conta.

 

Tanto a Acesso quanto o Banco Central reforçaram que não foram expostos dados sensíveis como senhas, saldos ou transações financeiras sob sigilo bancário. “As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, diz o BC.

 

Especialistas em Segurança Cibernética ouvidos pela reportagem da Security Report informam que este vazamento tem pouca utilidade prática, pois dados como agência, conta e instituição de uma pessoa não são informações relevantes para que fraudadores apliquem golpes. Cibercriminosos preferem usar de meios como engenharia social para fazer com que um indivíduo realize um Pix.

 

Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação. Além disso, o BC adotou as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação vigente, inclusive com processo administrativo punitivo.

 

Isso significa que pode haver penalidade à Acesso como multa e inabilitação para atuar como administrador e para exercer cargo em órgão previsto em estatuto ou em contrato social de pessoa mencionada no caput do art. 2º desta Lei. Adicionalmente, a Acesso está sujeita à aplicação de multa por descumprir os dispositivos do Regulamento do Pix, conforme previsto na Resolução BCB nº 177, de 22 de dezembro de 2021.

 

O comunicado do Banco Central reforça que os clientes afetados pelo incidente serão notificados pela Acesso por meio do aplicativo ou pelo internet banking.

 

O primeiro incidente envolvendo cadastros de chave Pix aconteceu em agosto de 2021 com o Banco do Estado de Sergipe S.A. (Banese). Na ocasião, foram expostos dados cadastrais vinculados a 414.526 chaves Pix, incluindo nome do usuário, CPF, instituição de relacionamento, número da agência e da conta.

 

A Security Report disponibiliza o comunicado da Acesso na íntegra:

 

“Mantendo a nossa transparência, comunicamos que identificamos consultas indevidas a dados relacionados às chaves PIX a partir da plataforma da Acesso Soluções de Pagamento no Diretório de Identificadores de Contas Transacionais (DICT).

 

Não foram expostos dados sensíveis como senhas, informações de movimentações, saldos financeiros em contas transacionais ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, apenas. Dados estes que não permitem movimentação de recursos, acesso às contas ou a qualquer outra informação financeira.

 

Os usuários afetados pelo vazamento dos dados serão comunicados diretamente pelas instituições em que a chave PIX está registrada.

 

Reforçamos que tomamos, de forma tempestiva, todas as providências necessárias para garantir a segurança das informações mantidas pela Companhia e o nosso compromisso em manter o mercado e nossos parceiros informados.”

 

Conteúdos Relacionados

Security Report | Destaques

Cisco emite esclarecimento sobre suposto vazamento de dados

Publicações apontando um possível vazamento de dados anunciado em um fórum na Dark Web circularam durante essa semana. Em nota,...
Security Report | Destaques

Regulação da IA: CISOs e operadores do direito analisam Projeto de Lei

O Senado Federal aprovou a lei em plenário neste mês de dezembro, avançando com a possibilidade de estabelecer normas mais...
Security Report | Destaques

CISO no Board: o desafio de comunicar a linguagem da SI ao negócio

Como líderes de Cibersegurança podem ajustar seu discurso para estabelecer uma ponte efetiva com os conselheiros e influenciar decisões estratégicas
Security Report | Destaques

Unidas Aluguel de Carros identifica tentativa de invasão aos sistemas

Registros de que a companhia havia sido atacada por um ransomware começaram a circular nesta semana, quando grupos de monitoramento...