O Banco Central do Brasil comunicou o vazamento de informações oriundas de mais de 39 mil chaves Pix arquivadas nos bancos de dados da 99Pay. A plataforma de pagamentos digitais, vinculada à startup de transportes 99, teve essa perda entre os dias 26 de junho e 2 de julho desse ano, devido a problemas técnicos já corrigidos nos sistemas da instituição.
De acordo com o BC, apenas dados cadastrais foram expostos, como nomes dos usuários, CPFs mascarados (quando parte dos caracteres são cobertos por asteriscos), instituições de relacionamento, agências e números das contas. Tais dados são insuficientes, segundo a autoridade monetária, para viabilizar acessos indevidos às contas bancárias ou movimentações ilegais de recursos.
Todavia, as informações vazadas poderiam ser aplicadas em campanhas de golpes e fraudes direcionadas a usuários mobile. Com acesso a esses dados, cibercriminosos poderiam direcionar ações de smishing personalizadas para garantir maior confiabilidade à vítima. Assim, a partir de táticas de engenharia social, seria possível comprometer a integridade de outros acessos sensíveis desses consumidores.
“Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação. Ainda regido pelo mesmo princípio, o Banco Central do Brasil mantém página específica em seu sítio para registrar incidentes de segurança desse tipo”, prosseguiu o comunicado da autoridade monetária.
A nota comenta ainda que foram adotadas as ações necessárias para a apuração detalhada do incidente, e as medidas sancionadoras vigentes serão aplicadas. Além disso, o BC reforça que os afetados pelo vazamento serão notificadas exclusivamente pelo aplicativo da 99Pay ou pelo internet banking, sendo qualquer outro tipo de contato, como ligações telefônicas, SMS, apps de mensageria, e-mails, entre outros, considerado sumariamente suspeito pelos clientes.
Em nota enviada à Security Report, a 99Pay informou que já contatou seus usuários afetados, que representam cerca de 0,0003% de sua base, para oferecer esclarecimentos e apoio. As demais pessoas que tiveram seus dados acessados, devido ao incidente, serão notificadas exclusivamente por meio do aplicativo, email ou pelo internet banking da sua própria instituição financeira.
“A 99Pay reforça seu compromisso com a segurança, a privacidade de dados e o combate às fraudes digitais como prioridade em todas as operações. Seus canais oficiais de atendimento seguem à disposição para responder dúvidas e orientar os usuários da melhor forma possível”, conclui a mensagem.
Segurança no Pix
De acordo com dados da “Pesquisa de Tecnologia Bancária 2024”, organizada pela parceria da Febraban com a Deloitte, O Pix se tornou o meio de pagamento preferido dos brasileiros, usado em 41,9 bilhões de transações financeiras em 2023, um crescimento de 74% em relação ao ano anterior. Dessas, a maioria – 19,9 bilhões – foi transferida por chaves Pix, em um aumento de 44% em comparação com 2022.
Esse crescimento representa também um aumento no interesse dos cibercriminosos em relação às transações bancárias via Pix, sendo cada vez mais valioso para eles comprometerem esse meio de transação para roubo de valores e fraudes financeiras. De acordo com o Bacen, esse incidente da 99Pay foi o 11º caso de vazamento desde que a modalidade de transação entrou em funcionamento, em 2021. Seis desses casos ocorreram já em 2024.
Esses dados justificam outra descoberta da pesquisa da Febraban, que a Segurança Cibernética é prioridade estratégica para 100% dos bancos entrevistados pela Deloitte. Entre as prioridades para 2024, Segurança e Privacidade foram citados por 58% dos entrevistados, e os investimentos em tecnologia, englobando também a Cibersegurança, alcançarão os R$ 47,4 bilhões.
“A pandemia acelerou o processo de digitalização da tecnologia bancária, juntamente com o nascimento do Pix, a implementação do Open Finance e, no momento, a chegada do Drex. Tudo isto reflete nestas prioridades dos bancos para explorar novos formatos de atendimento e busca por excelência operacional”, disse Rodrigo Mulinari, diretor responsável pela Pesquisa Febraban de Tecnologia Bancária, no dia de lançamento do estudo.
A Security Report divulga, na íntegra, notas veiculadas pelo Banco Central do Brasil e pela 99Pay:
“Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados as chaves Pix sob a guarda e a responsabilidade da 99Pay Instituição de Pagamento S.A., em razão de falhas pontuais em sistemas dessa instituição.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo.”
“A 99Pay informa que, lamentavelmente, dados associados a um número reduzido de chaves Pix foram indevidamente acessados em um incidente recente de segurança, já sanado. Não foi exposto nenhum dado sensível, como senhas, informações de transações, saldos financeiros ou qualquer outra informação sigilosa bancária, não acarretando, portanto, em perdas financeiras de qualquer tipo.
A empresa já contatou seus usuários afetados, que representam cerca de 0,0003% de sua base, para oferecer esclarecimentos e apoio. As demais pessoas que tiveram seus dados acessados, devido ao incidente, serão notificadas exclusivamente por meio do aplicativo, email ou pelo internet banking da sua própria instituição financeira.
A 99Pay reforça seu compromisso com a segurança, a privacidade de dados e o combate às fraudes digitais como prioridade em todas as operações. Seus canais oficiais de atendimento seguem à disposição para responder dúvidas e orientar os usuários da melhor forma possível.”
*Com informações da Agência Brasil
