O Conselho Nacional de Justiça (CNJ), informou em nota veiculada no site oficial que identificou e corrigiu um incidente de Segurança Cibernética contra o Sistema de Busca de Ativos Financeiros do Poder Judiciário (Sisbajud). Apesar de a estrutura ter retornado rapidamente à operação, a ocorrência expôs dados cadastrais de cerca de 11 milhões de brasileiros.
Conforme informa o site do CNJ, o Sisbajud foi criado para fazer o envio de ordens de bloqueio financeiro contra pessoas investigadas pela Justiça ao Banco Central do Brasil. Dessa maneira, a articulação para travar ativos suspeitos pelas cortes e tribunais é feito com mais agilidade. Todavia, a ferramenta demandava a manutenção de registros de usuários investigados para que eventuais avanços nos processos sejam feitos.
De acordo com comunicado do conselho de justiça e reiterado pelo Bacen, foram comprometidas informações como nome do usuário, nome do banco, chave Pix e números da agência e conta de cadastro. Ambas as organizações negaram que senhas, extratos, saldos ou qualquer outro dado protegido por sigilo bancário tenham sido expostos publicamente.
“Os dados expostos não permitem fazer movimentações ou transferências financeiras nem acessar contas bancárias, e não houve qualquer comprometimento à integridade do sistema bancário. O acesso indevido ocorreu por meio da captura criminosa de credenciais de usuários, mas Graças à rápida atuação da equipe técnica, o sistema já está em plena operação e as medidas de contenção foram adotadas”, acrescenta a mensagem do CNJ.
O Conselho Nacional de Justiça ainda informa que, tão logo o incidente foi detectado, os protocolos de Segurança foram reforçados e a Polícia Federal e a Autoridade Nacional de Proteção de Dados (ANPD), receberam a devida notificação como exige a lei. Em atendimento à Lei Geral de Proteção de Dados, o CNJ também divulgou Comunicado de Incidente de Segurança sobre o fato.
“O CNJ reafirma seu compromisso com a segurança da informação, a transparência e a proteção dos dados dos cidadãos, e continuará trabalhando com todos os órgãos competentes para manter a confiança e a segurança de seus sistemas”, concluiu a nota.
O Banco Central mantém a prática constante de alertar a sociedade brasileira a respeito de situações de vazamento de dados bancários, principalmente quando envolvem o Pix. Embora a maioria desses incidentes impactem apenas registros cadastrais, essas informações costumam ser suficientes para subsidiar eventuais campanhas de phishing contra os clientes financeiros, ampliando a efetividade dessas ações cibercriminosas.
O incidente de perda de dados mais recente reportado pelo Bacen ocorreu em março desse ano, quando dados cadastrais vinculados a chaves Pix sob a guarda da instituição de pagamentos QI SCD S.A foram perdidos em um ataque cibernético. À época, a instituição precisou utilizar os canais oficiais para informar os usuários do impacto que o caso gerou.
A Security Report divulga, na íntegra, notas publicadas pelo CNJ e pelo Banco Central:
Conselho Nacional de Justiça
“O CNJ informa que foi identificado e prontamente corrigido um incidente de segurança no sistema de busca de ativos financeiros (Sisbajud). Graças à rápida atuação da equipe técnica, o sistema já está em plena operação e as medidas de contenção foram adotadas.
O incidente ocorreu entre os dias 20 e 21 de julho e atingiu informações cadastrais de aproximadamente 11 milhões de brasileiros. O acesso indevido ocorreu por meio da captura criminosa de credenciais de usuários.
Os dados acessados foram exclusivamente as seguintes informações cadastrais: nome da pessoa, chave Pix, nome do banco, número da agência e número da conta. Não houve acesso a saldos, senhas, extratos ou qualquer informação protegida por sigilo bancário. Os dados expostos não permitem fazer movimentações ou transferências financeiras nem acessar contas bancárias. Não houve qualquer comprometimento à integridade do sistema bancário.
Assim que o incidente foi detectado, o CNJ reforçou os protocolos de segurança e notificou a Polícia Federal e a Autoridade Nacional de Proteção de Dados (ANPD), como exige a lei. Em atendimento à Lei Geral de Proteção de Dados, o CNJ também divulgou Comunicado de Incidente de Segurança sobre o fato.
O CNJ reafirma seu compromisso com a segurança da informação, a transparência e a proteção dos dados dos cidadãos, e continuará trabalhando com todos os órgãos competentes para manter a confiança e a segurança de seus sistemas”.
Banco Central do Brasil
“Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança, em razão de acessos indevidos ao Sisbajud (Sistema de Busca de Ativos do Poder Judiciário) operado pelo Conselho Nacional de Justiça (CNJ), referente a dados pessoais vinculados a chaves Pix.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
O CNJ informará exclusivamente em seu sítio oficial na internet sobre canal para consulta, por parte dos cidadãos, de eventual dado exposto.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo, a qual será atualizada oportunamente”.
