Um vazamento envolvendo o Pix expôs as chaves e dados de 395 mil chaves, conforme divulgou o Banco Central do Brasil (Bacen). Todas as chaves estavam sob guarda do Banco do Estado de Sergipe S.A (Banese), mas não eram de clientes do banco.
Foi o primeiro vazamento de chaves do Pix, novo sistema de pagamentos instantâneos. Como um cliente pode ter mais de uma chave, o número total de pessoas afetadas não foi divulgado.
Banese registra consultas indevidas
O vazamento foi identificado na quinta-feira (30), quando o Banese identificou uma consulta indevida. A instituição revelou que duas contas de clientes do banco realizaram consultas indevidas aos dados da chaves. Já os donos das 395 mil chaves não eram clientes da instituição.
Segundo o Banese, as consultas foram realizadas no Diretório de Identificadores de Contas Transacionais – DICT. O órgão é administrado pelo Bacen e apenas as instituições que realizam as transferências via Pix possuem acesso. Esse diretório contém informações de natureza cadastral: nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos.
Ataque phising pode ter causado falha
O Banese diz que o acesso “provavelmente foi obtido mediante engenharia social (phishing ou similar)”. Este ataque é comum sobretudo em instituições bancárias e costuma ser utilizado para obter acesso indevido as contas.
Confira nossas sugestões de Pre-Sales para investir agora
No entanto, o banco afirmou que os invasores conseguiram ter acesso apenas aos dados cadastrais das chaves, especialmente dados telefônicos. Dessa forma, nenhuma conta teve dinheiro roubado ou desviado.
De acordo com o Bacen, a falha não ocorreu no sistema do Pix, mas sim no próprio banco. Além disso, o banco confirmou que o erro do Banese não permitiu o roubo de fundos das contas associadas às chaves.
“Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, disse o Bacen.
Clientes serão avisados e devem se prevenir
Por fim, o Banese afirmou que pretende tomar providências para identificar os autores do vazamento. Em primeiro lugar, as duas contas utilizadas no vazamento terão seus acessos revogados. O banco também implementará mecanismos de segurança visando evitar que casos semelhantes voltem a ocorrer.
Por outro lado, o Bacen informou que as pessoas que tiveram seus dados vazados serão notificadas exclusivamente por meio do aplicativo do banco na qual têm conta. As instituições ressaltaram que qualquer outra forma de comunicação, principalmente mensagens de texto, deve ser ignorada.
“Nem o Bacen nem as instituições usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou email”, disse o comunicado do Bacen.
Leia também: NFL imita a NBA e vai lançar plataforma de NFTs
Leia também: Nova alteração no Ethereum é mais um passo para o fim da mineração de ETH
Leia também: Especialistas comentam aprovação de PL que regulamenta criptomoedas
