Nesta quinta-feira, 30, o Banco Central (BC) comunicou sobre o vazamento de dados referentes à chaves PIX. Ao todo foram 395 mil chaves compartilhadas pelo Banco do Estado de Sergipe (Banese) sem a autorização dos titulares.
Esta foi a primeira vez em que houve o vazamento de dados de chaves PIX desde que o sistema de pagamento instantâneo foi lançado há quase um ano. De acordo com o Banco Central, trata-se de um acontecimento isolado justificado por falhas pontuais nos sistemas da instituição.
“Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, não permitem movimentação de recursos nem acesso às contas ou a outras informações financeiras”, explicou o BC.
Segundo o Banese, o vazamento consiste em chaves PIX cadastradas com números de telefone de cidadãos que não são clientes do banco.
Essas pessoas serão notificadas exclusivamente pelo aplicativo do respectivo banco, de maneira que nem o BC nem as demais instituições financeiras envolvidas possam comprometer a situação ao recorrer a canais de comunicação como e-mail, SMS ou ligações telefônicas.
No intuito de resolver a situação com agilidade e segurança, o Banco Central declarou já ter tomado todas as providências cabíveis para apurar detalhadamente todas as informações sobre o ocorrido. Desta forma, será possível aplicar as devidas sanções aos responsáveis.
O Banese relacionou o vazamento de dados das chaves PIX à pratica de ‘phising’, que consiste no uso de links maliciosos. O setor técnico da instituição financeira detectou inúmeras consultas indevidas em dados vinculados às 395 mil chaves PIX compartilhadas indevidamente.
O curioso é que as investidas tiveram foco em chaves cujo os números de telefone estavam cadastrados, além de serem de clientes de outros bancos.
Apurou-se que o acesso foi baseado em duas contas bancárias de clientes do Banese que, provavelmente, foram roubadas. Essas contas já foram revogadas. As consultas foram feitas através do diretório de identificações de contas transacionais (DICT), gerenciadas pelo BC cujo acesso fica restrito às instituições financeiras que já ingressaram com o protocolo para realizar transações via PIX.
Este diretório possui todos os dados cadastrais dos clientes, como nome, CPF, banco no qual a chave está registrada, agência, conta, entre tantos outros dados técnicos utilizados em sistemas de controle antifraude, é o caso da data de abertura da conta e a data de registro da chave PIX.
Entre na comunidade do FDR e receba informações gratuitas no seu Whatsapp!
