BC comunica vazamento de 2,1 mil chaves Pix da instituição financeira Logbank

O Banco Central (BC) comunicou, nesta quinta-feira (3), que houve um novo vazamento de dados relacionados ao Pix, sistema de pagamentos instantâneos. A falha envolve a instituição financeira Logbank Soluções em Pagamentos S/A.

Segundo o comunicado, as informações vazadas estão vinculadas a 2.112 chaves Pix e foram de “natureza cadastral”. Neste caso, as informações vazadas contêm o nome do usuário, o CPF, a instituição de relacionamento e o número da conta.

“Apesar da baixa quantidade de dados envolvidos, o BC sempre adota o princípio da transparência nesse tipo de ocorrência. Como nos casos anteriores, não foram expostos dados sensíveis, a ANPD [Autoridade Nacional de Proteção de Dados] foi avisada e as pessoas afetadas serão notificadas”, diz o BC, por nota.

Este é a terceira ocorrência de vazamento de dados relacionados ao Pix nos últimos meses: o primeiro, anunciado em setembro de 2021, envolveu o Banco de Sergipe e mais de 414 mil chaves Pix vazadas; e mais recentemente, no início de janeiro, a instituição Acesso Soluções de Pagamento também teve dados vinculados a 160 mil chaves vazados.

Impactos para os usuários

A sequência de vazamentos mancha a credibilidade do Pix, que foi aderido em larga escala pelos brasileiros. São 117,7 milhões de usuários do mecanismo e quase 382 milhões de chaves cadastradas até dezembro de 2021. O sistema já ultrapassa 1,46 bilhões em transações feitas desde que foi colocado em operação, em novembro de 2020.

“Os vazamentos estão ficando cada vez mais comuns e preocupam, mas, geralmente, como aconteceu neste caso, a falha é direta da instituição financeira. Não há nenhum problema nos sistemas do BC ou do Pix. Por algum erro na instituição, em seu app ou site, o vazamento ocorreu.”, diz Marcelo Martins, representante da ABFintechs, que faz parte do grupo de trabalho do Pix no BC.

“A empresa avisa os clientes e o BC avisa todas as instituições participantes do Pix. Caso algum cliente delas esteja envolvido, eles também serão avisados por elas. Ou seja, o incidente aconteceu na empresa A, mas a empresa B, se tiver cliente envolvido, também precisa informá-lo”, acrescenta.

Comparado com os dois casos recentes, este vazamento é de menor magnitude, mas de qualquer maneira os usuários precisam ficar atentos.

Vale lembrar que as chaves Pix funcionam como uma identificação do usuário dentro do sistema, que permite que o mesmo somente receba valores.

“Isso significa que mesmo em posse dessa informação, não é possível o acesso ao saldo ou lançamentos da conta ou a realização de pagamentos ou transferências”, disse o BC.

A grande preocupação é com a chamada engenharia social. “O vazamento pode ser utilizado para aplicação de golpes, como, por exemplo, o golpista tentar persuadir a vítima de que é um funcionário do banco para tentar obter as credenciais de senha do usuário”, disse o BC.

Recentemente, o Pix serviu de ferramenta para criminosos roubarem R$ 6 milhões da pequena cidade de Crixás, no norte de Goiás. Os criminosos fizeram uso do desconhecimento e da confiança das vítimas para aplicar golpes financeiros com um sistema que transfere o dinheiro imediatamente.

“É uma falha de segurança, que expõe dados dos usuários, e não há risco imediato. Porém, com dados como esses em mãos, os criminosos podem tentar aplicar os golpes de engenharia social, podem mandar um e-mail para vítima pedindo a troca da senha da conta, por exemplo, porque aconteceu o vazamento. E a pessoa cai. Esse é o risco: abre margem para várias tentativas de outros golpes”, avalia Rogerio Melfi, gerente de Open Finance da TecBan.

Como se proteger?

redobrar a atenção nas comunicações oficiais da instituição;

não clicar em nenhum tipo de link suspeito, que não seja diretamente ligado aos canais do banco;

ignorar qualquer tipo de telefonema ou e-mail suspeitos e procurar os canais oficiais do banco;

Por isso, o BC explica que os clientes afetados pelo vazamento serão notificados pela instituição financeira “exclusivamente por meio do aplicativo”.

E faz um alerta: “nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, explicou o órgão em nota.

Todas as instituições que operam e oferecem o Pix a clientes são fiscalizadas pelo Banco Central e precisam seguir regras específicas. O InfoMoney entrou em contato com o Banco Central para questionar como a fiscalização vem sendo feita e aguarda um retorno.

A Logbank também foi contatada, mas até esta publicação, não respondeu aos questionamentos da reportagem.

Para evitar problemas, a dica é: cadastre chaves aleatórias que tenham menos informações pessoais possíveis.