O Banco Central (BC) anunciou recentemente um incidente de segurança envolvendo o vazamento de milhares de chaves PIX – este episódio marca o oitavo incidente de vazamento de dados desde o lançamento do sistema instantâneo de pagamentos em novembro de 2020. A Kaspersky levantou os principais erros relacionados a segurança de instituições participantes do arranjo do PIX e aponta alternativas de como se proteger desses vazamentos.
De acordo com as informações divulgadas pelo Banco Central, o vazamento ocorreu entre 20 de março e 13 de abril e afetou informações sensíveis, incluindo nome do usuário, CPF, instituição, agência e número da conta. As falhas nos sistemas da instituição de pagamento foram identificadas como a causa do vazamento, impactando os dados cadastrais dos clientes, mas sem afetar a movimentação financeira ou dados protegidos pelo sigilo bancário, como senhas e extratos.
Este incidente ressalta a crescente preocupação com a segurança dos dados no sistema financeiro, especialmente no que diz respeito ao uso das APIs do Pix. A falta de implementação adequada das normas de segurança definidas pelo Banco Central abre brechas para que cibercriminosos acessem e explorem as bases de dados de chaves Pix, colocando em risco informações pessoais e financeiras dos clientes.
Para garantir a segurança dos dados no sistema Pix e evitar futuros incidentes, é crucial que as instituições participantes do arranjo do Pix adotem medidas proativas de segurança, incluindo a implementação rigorosa das normas de segurança estabelecidas pelo Banco Central e a adoção de práticas recomendadas de cibersegurança.
“A segurança desses dados pode ser melhorada ao punir e expor publicamente as entidades que não seguem as regras de segurança definidas pelo BC, especialmente as que são envolvidas em incidentes de vazamentos – o que o Banco Central tem feito exemplarmente. Em 2021 o Gartner previu que ataques de abuso de APIs seriam o vetor número 1 de ataques a infraestrutura de dados. Outras empresas da área registraram um crescente aumento dos ataques de abuso de APIs. É necessário que os participantes do arranjo PIX levem esses riscos em consideração”, Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
O que o usuário pode fazer
Os especialistas da empresa de cibersegurança recomendam adotar medidas de proteção como o uso de chaves aleatórias em vez de dados pessoais como CPF e número de celular. Mesmo que dados como senhas e extratos dos clientes não sejam vazados, a exposição de dados pessoais – como número de celular – pode ser considerado como um dado crítico, pois permite a um criminoso realizar ataques de SIM swap. Esse golpe ativa o número da vítima em outro SIM card, roubando tokens recebidos por SMS, que podem ser usados para comprometer inclusive o acesso a contas bancárias e outros serviços financeiros.
Além disso, é recomendado realizar consultas mensais no serviço gratuito Registrato, mantido pelo Banco Central, para monitorar as chaves Pix cadastradas e relatar qualquer atividade suspeita às instituições financeiras. Em caso de exposição de dados, os usuários devem evitar o uso da chave comprometida e considerar a migração para uma instituição com melhor reputação. É fundamental agir com rapidez e vigilância para proteger os dados pessoais e financeiros contra possíveis ciberataques.