Pix registra segundo vazamento e expõe dados de 160,1 mil chaves
Foram vazados no final do ano passado nome, CPF, número e agência da conta dos usuários; vazamento é de responsabilidade da Acesso
Com pouco mais de um ano de existência, o Pix – o sistema de pagamentos instantâneos desenvolvido pelo Banco Central – que já movimenta mais de 500 bilhões de reais por mês, passa pelo seu segundo teste de fôlego. O Banco Central informou na tarde desta sexta-feira, 21, um vazamento de dados de natureza cadastral, expondo dados de 160,1 mil chaves Pix. Esse é o segundo vazamento envolvendo o Pix, o primeiro aconteceu em agosto do ano passado no banco Banese, de Sergipe, na qual foram expostas 395 mil chaves Pix.
Este segundo vazamento é de responsabilidade da Acesso Soluções de Pagamento, instituição que oferece serviços financeiros para bancos e plataformas digitais. Segundo o Banco Central, ele ocorreu devido a falhas pontuais nos sistemas da empresa. O BC informou, por meio de nota, que “adotou as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação vigente”.
Os dados foram vazados entre os dias 3 e 5 de dezembro do ano passado, expondo nome, CPF, número e agência da conta dos usuários, mas não foram expostos dados sensíveis, “tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário”.
O vazamento pode ter ocorrido por uma falha na base de dados. Segundo Rafael Stark, CEO da Stark Bank, fintech focada em open banking e a primeira a ofertar o PIX para o mercado corporativo, as instituições possuem travas em seus sistemas para identificar quando usuários suspeitos entram na base e fazem apenas a leitura dos dados, sem realizar pagamento. “Provavelmente, a Acesso não tinha essa trava de segurança”, diz. Para Stark, o problema do vazamento não são os dados em si, mas a engenharia social que pode ser utilizada pelos criminosos para arrancar dinheiro dos usuários afetados. “Com esses dados eles podem entrar em contato com os proprietários das contas se passando pelo banco e conseguir arrancar dinheiros e outros dados mais sensíveis”, diz.
Para evitar esse tipo de problema, o Banco Central já informou que as pessoas que tiveram seus dados vazados serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento, e alertou que nem o BC, nem as instituições utilizarão qualquer outro meio como ligações, SMS ou e-mail para contatar os afetados.