O Banco Central do Brasil informou esta semana que detectou um incidente de Segurança na empresa Phi Serviços de Pagamentos S.A., decorrente de falhas pontuais relacionadas ao sistema interno da instituição. Como consequência, 238 chaves Pix sob guarda da empresa foram expostas publicamente.
De acordo com nota do BC, o número de códigos vazados corresponde a menos de 0,00004% das mais de 630 milhões cadastradas no Diretório de Identificadores de Contas Transacionais (DICT). Os mecanismos de Segurança empregados pela tecnologia foram responsáveis por mitigar a quantidade de registros comprometidos. Além disso, dados como senhas, movimentações, saldos financeiros em contas transacionais, entre outros sob sigilo bancário fora preservados.
“As informações obtidas são de natureza cadastral, incapazes de permitir movimentação de recursos, nem acesso às contas ou a outras informações financeiras. O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente”, continua a nota do Banco Central.
Na visão de Paulo Condutta, CISO no Banco Ourinvest, os dados vazados já são comunicados publicamente pelos titulares durante transferência de valores. Entretanto, a ocorrência reforça o alerta da segurança nas transações bancárias.
“Algumas instituições já disponibilizam o monitoramento de toda operação com CPF aos usuários, tanto na Internet como em Deep Web e Dark Web. Elas também são obrigadas a apresentar sua política de Segurança e privacidade publicamente. É interessante consultar as políticas praticadas pelos bancos para ter mais confiança sobre maturidade cibernética deles”, complementou Condutta, em entrevista para a Security Report.
Para o CISO, é essencial as companhias ficarem atentas às resoluções de Cibersegurança e do manual de segurança do Pix para preservarem um ambiente seguro e poderem reagir rapidamente contra incidentes similares. Importante destacar trabalho do Grupo Estratégico de Segurança do Pix (GE-SEG Pix) para mitigação de riscos e atendimento ao compliance das resoluções.
“Dentre os trabalhos executados, duas medidas importantes estão publicadas no Fórum Pix: a Certificação de aderência ao Manual de Segurança do Pix e Prevenção a ataques de leitura para controlar e monitorar o uso abusivo dos dados registrados no DICT e comportamentos de risco à base. Tais medidas devem ser seguidas por todos os participantes do ecossistema”, orientou o executivo.
O comunicado do BC ainda relata que os titulares de Pix vazados no incidente serão notificados exclusivamente por meio de aplicativo ou pelo internet banking da instituição ligada ao registro do Pix. “Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail”, alerta o órgão.
Pix na mira do Cibercrime
Apesar de ser o primeiro incidente em 2023, o recurso de transferência já havia sido vazado anteriormente em outras circunstâncias. A mais recente se deu em setembro de 2022, quando a empresa Abastece Aí, responsável por uma carteira digital com cashback de pagamentos, teve mais de 130 mil chaves comprometidas. Neste caso, dados como nome, CPF, número e tipo da conta foram vazados também, enquanto os registros sensíveis foram preservados.
Até o momento, o maior vazamento ocorrido com o Pix foi o primeiro, relatado em agosto de 2021. À época, o Banco do Estado de Sergipe (Banese), assistiu ao vazamento de cadastros de 395.009 chaves Pix sob a guarda da instituição. Informações como nome do usuário, CPF, instituição de relacionamento, número da agência e da conta também foram expostos.
A Security Report publica, na íntegra, nota divulgada pelo Banco Central sobre o caso:
“Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da Phi Serviços de Pagamentos S.A. (Phi Pagamentos), em razão de falhas pontuais em sistemas dessa instituição de pagamento.
O BC ressalta que os mecanismos de segurança e de monitoramento do Pix mitigaram sobremaneira a extensão dos dados cadastrais expostos, limitando a exposição a 238 chaves Pix ou menos de 0,00004% das mais de 630 milhões cadastradas no DICT (Diretório de Identificadores de Contas Transacionais).
Mais importante, não foram expostos quaisquer dados sensíveis, tais como senhas, movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. O que foi obtido é de natureza cadastral, não permitindo transferência de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial aos usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência de sua atuação.Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio registrando incidentes de segurança desse tipo.”
