Entenda o que aconteceu nos vazamentos de dados por meio de chaves do Pix

Segundo o Banco Central, falhas foram por deslizes de empresas que operam o Pix, e que nenhuma vulnerabilidade foi detectada em qualquer sistema operado

Vazamento de chaves Pix: Em todos os incidentes ocorridos, as instituições não implementaram todas as medidas de segurança previstas no Regulamento do sistema de pagamentos
Vazamento de chaves Pix: Em todos os incidentes ocorridos, as instituições não implementaram todas as medidas de segurança previstas no Regulamento do sistema de pagamentos Getty Images

Fabrício Juliãodo CNN Brasil Business

em São Paulo

Ouvir notícia

O Banco Central (BC) confirmou que houve três vazamentos de dados de usuários que utilizam o Pix nos últimos seis meses.

Ao todo, informações de 576.785 chaves foram expostas, considerando incidentes no Banco do Estado de Sergipe (Banese), na Acesso Soluções de Pagamento e na Logbank Soluções em Pagamento.

Apesar dos casos recentes, o BC reitera que não foi explorada nenhuma vulnerabilidade, ou seja, acesso a dados sensíveis, em qualquer sistema e o Pix possui diversos mecanismos que permitem a proteção e o monitoramento da ferramenta.

Para entender como ocorreram o vazamento destes dados e se as informações expostas podem impactar ou não a vida dos usuários, o CNN Brasil Business conversou com especialistas e com o BC para esclarecer essas questões.

O BC informou ao CNN Brasil Business que em todos os incidentes ocorridos, as instituições não implementaram todas as medidas de segurança previstas no Regulamento do Pix e apresentaram vulnerabilidades, mas que dados como senhas não foram exploradas por terceiros.

“O BC apura detalhadamente cada caso e aplica as medidas sancionadoras previstas nas normas vigentes. Vale ressaltar que não foi explorada nenhuma vulnerabilidade em qualquer sistema”, disse.

Os dados vazados se restringem a informações de identificação do usuário, como nome completo e CPF, bem como número da conta, número da agência do banco e tipo de chave Pix.

“Importante destacar que essas informações não são sensíveis ou sigilosas e parte delas são usualmente informadas pelos usuários ao se fazer uma TED ou DOC, estão impressas nos cheques e podem constar nos comprovantes das transações”, destacou o BC.

A entidade monetária afirmou que implementou medidas adicionais de verificação de aderência ao regulamento pelas instituições financeiras participantes e está aperfeiçoando o processo de monitoramento de incidentes envolvendo o Pix.

Marco Zanini, CEO da Dínamo, explicou que os três casos de vazamento de dados recentes estão ligados a uma falha no aplicativo da instituição que começa a fazer a transação financeira. Ele reforçou que não houve erro nos sistemas do Banco Central.

O que acontece é que quando se digita a chave Pix para fazer uma transferência ou pagamento, alguns dados do destinatário que não deveriam aparecer no momento da transação estão sendo expostos, como dados da conta bancária ou o número do CPF completo (quando este não é a chave Pix).

No caso do vazamento mais recente, informado em 3 de fevereiro, da LogBank, as operações feitas nos dias 24 e 25 de janeiro tiveram essa falha em mais de 2 mil chaves. O primeiro vazamento foi comunicado em 30 de setembro, e afetou mais de 395 mil chaves do Banco de Sergipe. Em 21 de janeiro, o BC divulgou que mais de 160 mil chaves do banco Acesso foram expostas.

“Vamos imaginar que o usuário entra no seu aplicativo do banco e vai iniciar o pagamento. Na hora em que ele digita a chave Pix, essa aplicação vai para o Banco Central, para uma consulta sobre o destino daquela chave, do banco, da agência e da conta. Nesse momento, se a aplicação não está bem escrita do ponto de vista de segurança do software, ela pode expor essas informações na tela para quem está consultando, que no caso é o banco que está originando a transferência”, explicou.

Zanini também disse que as informações vazadas são pessoais, mas não sensíveis. Segundo ele, são dados que não permitem que os usuários sejam lesados por si só, mas facilitam eventualmente algum tipo de fraude.

“A informação sensível na transação financeira é a senha, e esse dado não fica exposto. Mas os fraudadores tentam, a partir das informações disponíveis, fazer uma engenharia social, ligando para a pessoa ou mandando e-mail, se passando pelo banco com o intuito de capturar a senha dela”, declarou.

Para Arthur Igreja, especialista em tecnologia e segurança digital, as pessoas precisam ficar atentas para não cair neste tipo de golpe, que se iniciam com abordagens convincentes de que o golpista é alguém do banco, pois tem as informações cadastrais do indivíduo.

“Importante lembrar que a partir do momento que alguém conhece a sua chave Pix, ela só pode transferir dinheiro, não tem como operacionalizar o Pix de outro indivíduo”, afirmou.

O especialista acredita que a grande quantidade de instituições que operam o Pix levam mais opções ao consumidor, mas também podem aumentar as chances de novos vazamentos deste tipo no futuro.

“De um lado temos a praticidade e a expansão no número de players, o que é muito saudável para o consumidor. Por outro, temos a inserção no mercado de empresas que não necessariamente têm o mesmo nível de maturidade tecnológica dos grandes bancos, o que não quer dizer que o próximo vazamento, por exemplo, não ocorra justamente com um banco”, afirmou Igreja.

“Eu não ficaria nem um pouco surpreso com vazamentos futuros, afinal temos que lembrar que as instituições financeiras são as mais visadas pelos hackers”, completou.

O Banco Central recomenda aos usuários que possuem chave Pix sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números.

Além disso, a entidade ressalta que é preciso ter atenção redobrada ao receber ligações de pessoas se passando por bancos e jamais fornecer informações sensíveis, códigos recebidos via SMS ou senhas bancárias, nem tampouco autorizar acesso remoto ao aplicativo ou internet banking.

“O BC reforça que as pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo de sua instituição de relacionamento. Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, comunicou.

Mais Recentes da CNN