O vazamento de chaves Pix expôs os dados telefônicos de clientes de instituições financeiras. Segundo o Banco Central, o vazamento atingiu chaves Pix que estavam ‘sob a guarda e a responsabilidade do Banese (Banco do Estado de Sergipe), em razão de falhas nos sistemas da instituição financeira’. Foi o primeiro vazamento de chaves do Pix, novo sistema de pagamentos instantâneos.

O Banese informa que foram realizadas consultas indevidas 395.009 chaves Pix de não clientes da instituição. As consultas foram feitas a partir de duas contas bancárias de clientes do Banese.

Qual a quantidade de pessoas atingidas pelo vazamento? O número não foi informado, mas uma mesma pessoa pode ter mais de uma chave Pix (CPF, celular, e-mail ou número aleatório). E uma mesma pessoa também pode cadastrar mais de um telefone como chave Pix.

Que dados foram consultados? O Banese informa que foram consultados os dados telefônicos. “A companhia informa que o evento não afetou a confidencialidade de senhas, histórico de transações ou demais informações financeiras de seus clientes”, disse o Banese.

“As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, diz o BC.

Como o vazamento ocorreu? O Banese diz que o acesso “provavelmente foi obtido mediante engenharia social (phishing ou similar)”.

Um dos mecanismos de segurança do Pix pode estar sendo usado de forma indevida por criminosos, segundo Carlos Netto, CEO da Matera. Ele está falando da checagem de dados do recebedor, que aparece para quem está transferindo dinheiro pelo Pix.

“Existe possibilidade de pessoas digitarem o CPF da pessoa para quem vai mandar o Pix e conferir o nome. Se não for, opa, digitei um número errado e vou corrigir. Apesar de ter sido criado para o bem, o pessoal está usando para o mal. Começam a fingir que vão mandar um Pix e não mandam e com isso vão criando um banco de dados”, disse Netto.

Segundo ele, o BC pediu a todas as instituições que limitassem a quantidade de tentativas erradas de envio de Pix por uma mesma pessoa. “As pessoas não erram um número tantas vezes assim, provavelmente estão fazendo um ataque. Mas não foram todos os bancos que implementaram isso. Aí o bandido descobre isso e começa a tentar Pix.”

Segundo o Banese, as consultas foram realizadas no Diretório de Identificadores de Contas Transacionais – DICT, administrado pelo Banco Central do Brasil e de acesso restrito às Instituições que iniciam o procedimento para realização de uma transação por PIX. Esse diretório contém informações de natureza cadastral: nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos.

Que medidas foram tomadas? O Banese informa que “foram adotadas ações de contenção e medidas técnicas, como a revogação do acesso às duas contas utilizadas e a implementação de mecanismos de segurança visando evitar que casos semelhantes voltem a ocorrer”.

Já o BC informa que adotou as ações necessárias para a apuração do caso e aplicará as medidas sancionadoras previstas.

Como as vítimas saberão que seus dados foram vazados? O BC informou que as pessoas que tiveram seus dados vazados serão notificadas exclusivamente por meio do aplicativo de sua instituição de relacionamento. “Nem o BC nem as instituições usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou email.”

Qual o contexto desse vazamento? O Pix entrou na mira de autoridades policiais e de defesa do consumidor depois da revelação do aumento de furtos de smartphones e sequestros visando o roubo do dinheiro depositado em contas bancários através de Pix para a conta de criminosos.

O que o Banese diz sobre tudo isso? O banco orienta os clientes a adotarem medidas preventivas pessoais, como:

• sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números;
• ter atenção redobrada ao receber ligações de pessoas se passando por bancos e jamais fornecer informações pessoais, códigos recebidos via SMS ou senhas bancárias;
• ter cuidado com e-mails e páginas falsas que tentem se passar por qualquer instituição financeira;
• nunca utilizar senhas fáceis de serem descobertas.

“Por fim, a administração do Banese reforça o compromisso de manter o mercado informado, bem como com a transparência e com a segurança das informações mantidas pela Companhia.”