Novo vazamento do PIX pressiona organizações a ampliarem medidas de Segurança

Novo incidente envolvendo o método de pagamento fez o Banco Central orientar as organizações do país a seguir as normas de proteção já definidas pelo órgão. Na visão de especialistas da Kaspersky, há necessidade de adoção rigorosa das normas de segurança definidas pelo Banco Central para evitar novos casos

Compartilhar:

O Banco Central (BC) anunciou recentemente um incidente de segurança envolvendo o vazamento de milhares de chaves PIX – este episódio marca o oitavo incidente de vazamento de dados desde o lançamento do sistema instantâneo de pagamentos em novembro de 2020. A Kaspersky levantou os principais erros relacionados a segurança de instituições participantes do arranjo do PIX e aponta alternativas de como se proteger desses vazamentos.

 

De acordo com as informações divulgadas pelo Banco Central, o vazamento ocorreu entre 20 de março e 13 de abril e afetou informações sensíveis, incluindo nome do usuário, CPF, instituição, agência e número da conta. As falhas nos sistemas da instituição de pagamento foram identificadas como a causa do vazamento, impactando os dados cadastrais dos clientes, mas sem afetar a movimentação financeira ou dados protegidos pelo sigilo bancário, como senhas e extratos.

 

Este incidente ressalta a crescente preocupação com a segurança dos dados no sistema financeiro, especialmente no que diz respeito ao uso das APIs do Pix. A falta de implementação adequada das normas de segurança definidas pelo Banco Central abre brechas para que cibercriminosos acessem e explorem as bases de dados de chaves Pix, colocando em risco informações pessoais e financeiras dos clientes.

 

Para garantir a segurança dos dados no sistema Pix e evitar futuros incidentes, é crucial que as instituições participantes do arranjo do Pix adotem medidas proativas de segurança, incluindo a implementação rigorosa das normas de segurança estabelecidas pelo Banco Central e a adoção de práticas recomendadas de cibersegurança.

 

“A segurança desses dados pode ser melhorada ao punir e expor publicamente as entidades que não seguem as regras de segurança definidas pelo BC, especialmente as que são envolvidas em incidentes de vazamentos – o que o Banco Central tem feito exemplarmente. Em 2021 o Gartner previu que ataques de abuso de APIs seriam o vetor número 1 de ataques a infraestrutura de dados. Outras empresas da área registraram um crescente aumento dos ataques de abuso de APIs. É necessário que os participantes do arranjo PIX levem esses riscos em consideração”, Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.

 

O que o usuário pode fazer

Os especialistas da empresa de cibersegurança recomendam adotar medidas de proteção como o uso de chaves aleatórias em vez de dados pessoais como CPF e número de celular. Mesmo que dados como senhas e extratos dos clientes não sejam vazados, a exposição de dados pessoais – como número de celular – pode ser considerado como um dado crítico, pois permite a um criminoso realizar ataques de SIM swap. Esse golpe ativa o número da vítima em outro SIM card, roubando tokens recebidos por SMS, que podem ser usados para comprometer inclusive o acesso a contas bancárias e outros serviços financeiros.

 

Além disso, é recomendado realizar consultas mensais no serviço gratuito Registrato, mantido pelo Banco Central, para monitorar as chaves Pix cadastradas e relatar qualquer atividade suspeita às instituições financeiras. Em caso de exposição de dados, os usuários devem evitar o uso da chave comprometida e considerar a migração para uma instituição com melhor reputação. É fundamental agir com rapidez e vigilância para proteger os dados pessoais e financeiros contra possíveis ciberataques.

 

Conteúdos Relacionados

Security Report | Overview

Quais foram os impactos da Ciberguerra nas eleições dos EUA?

47ª eleição presidencial americana expõe os riscos envolvendo ataques DDoS que todos os países correm
Security Report | Overview

Player encontra novas técnicas de ataque contra Policy e Infrastructure as a Code

Security Report | Overview

Resposta a fraudes depende da cooperação entre bancos e varejo, sugere pesquisa

A adoção de ferramentas de IA para proliferar phishing, deepfakes e outros golpes está corroendo a confiança do consumidor nos...
Security Report | Overview

Pesquisa aponta uso de CAPTCHAs falsos para roubar dados de brasileiros

ISH Tecnologia traz detalhes da campanha que, executada, dá acesso irrestrito às máquinas das vítimas