Foto: Marcello Casal JrAgência Brasil O primeiro vazamento de dados do Pix foi anunciado pelo Banco Central nesta quinta-feira (30). O Banco do Estado de Sergipe (Banase), responsável pela guarda desses dados, afirmou que sua área técnica detectou "consultas indevidas" a dados relacionados a 395.009 chaves PIX de pessoas que não são clientes do banco.
O BC informou que o vazamento se deu em razão de falhas pontuais em sistemas da instituição financeira e envolveu informações de natureza cadastral, que não dão margem à movimentação de recursos ou acesso a contas.
“Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário”, disse o BC em comunicado.
As informações vazadas, segundo o Banese, seriam nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave.
O BC disse que vai apurar o ocorrido e aplicar medidas sancionadoras previstas na regulação. Ainda afirmou que as pessoas afetadas pelo vazamento serão notificadas por meio do aplicativo do seu banco, e alerta que nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail.
O Banese, em comunicado oficial, disse que as chaves foram exclusivamente do tipo telefone, de não-clientes do banco e o acesso foi feito a partir de duas contas bancárias de clientes do Banesa. “Provavelmente obtido mediante engenharia social (phishing ou similar)”, diz o comunicado.
“As consultas foram realizadas no Diretório de Identificadores de Contas Transacionais – DICT, administrado pelo Banco Central do Brasil, e de acesso restrito às Instituições que iniciam o procedimento para realização de uma transação por Pix”.
O Banese informou ainda que, em conformidade com a Política de Segurança da Informação e Cibernética do Banese e com a Resolução CMN nº 4.893/2021, o banco comunicou o ocorrido à Autoridade Nacional de Proteção de Dados – ANPD e, em conjunto com o BC, tem trabalhado na apuração e comunicação dos fatos. “De forma tempestiva foram adotadas ações de contenção e medidas técnicas, como a revogação do acesso às duas contas utilizadas e a implementação de mecanismos de segurança visando evitar que casos semelhantes voltem a ocorrer.”, diz o comunicado.
