O Banco Central comunicou nesta quinta-feira (30) a ocorrência do primeiro vazamento de dados de chaves Pix. As informações vazadas estavam sob a guarda e a responsabilidade do Banco do Estado de Sergipe (Banese).
Segundo o BC, o vazamento se deu em razão de falhas pontuais em sistemas da instituição financeira e envolveu informações de natureza cadastral, que não dão margem à movimentação de recursos ou acesso a contas.
“Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário”, disse o BC em comunicado. As informações vazadas, segundo o Banese, seriam nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave.
A autarquia acrescentou que vai apurar o ocorrido e aplicar medidas sancionadoras previstas na regulação. O BC afirmou que as pessoas afetadas pelo vazamento serão notificadas por meio do aplicativo do seu banco, e alerta que nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail.
O Banese enviou comunicado no fim da tarde desta quinta-feira informando aos seus acionistas e ao mercado em geral que sua área técnica detectou consultas indevidas a dados relacionados a 395.009 chaves Pix.
De acordo com o documento, as chaves foram exclusivamente do tipo telefone, de não-clientes do banco e o acesso foi feito a partir duas contas bancárias de clientes do Banesa. “Provavelmente obtido mediante engenharia social (phishing ou similar)”, diz o comunicado.
A companhia informou que o vazamento não afetou a confidencialidade de senhas, histórico de transações ou demais informações financeiras de seus clientes. “As consultas foram realizadas no Diretório de Identificadores de Contas Transacionais – DICT, administrado pelo Banco Central do Brasil, e de acesso restrito às Instituições que iniciam o procedimento para realização de uma transação por Pix”.
O Banese informou ainda que, em conformidade com a Política de Segurança da Informação e Cibernética do Banese e com a Resolução CMN nº 4.893/2021, o banco comunicou o ocorrido
à Autoridade Nacional de Proteção de Dados – ANPD e, em conjunto com o BC, tem trabalhado na apuração e comunicação dos fatos. “De forma tempestiva foram adotadas ações de contenção e
medidas técnicas, como a revogação do acesso às duas contas utilizadas e a implementação de mecanismos de segurança visando evitar que casos semelhantes voltem a ocorrer.”, diz o comunicado.