Publicada em 03/02/2022 às 15h42
O Banco Central (BC) comunicou, nesta quinta-feira (3), que houve um novo vazamento de dados relacionados ao Pix, sistema de pagamentos instantâneos. A falha envolve a instituição financeira Logbank Soluções em Pagamentos S/A.
Segundo o comunicado, as informações vazadas estão vinculadas a 2.112 chaves Pix e foram de “natureza cadastral”. Neste caso, as informações vazadas contêm o nome do usuário, o CPF, a instituição de relacionamento e o número da conta.
“Apesar da baixa quantidade de dados envolvidos, o BC sempre adota o princípio da transparência nesse tipo de ocorrência. Como nos casos anteriores, não foram expostos dados sensíveis, a ANPD [Autoridade Nacional de Proteção de Dados] foi avisada e as pessoas afetadas serão notificadas”, diz o BC, por nota.
Este é a terceira ocorrência de vazamento de dados relacionados ao Pix nos últimos meses: o primeiro, anunciado em setembro de 2021, envolveu o Banco de Sergipe e mais de 414 mil chaves Pix vazadas; e mais recentemente, no início de janeiro, a instituição Acesso Soluções de Pagamento também teve dados vinculados a 160 mil chaves vazados.
Impactos para os usuários
A sequência de vazamentos mancha a credibilidade do Pix, que foi aderido em larga escala pelos brasileiros. São 117,7 milhões de usuários do mecanismo e quase 382 milhões de chaves cadastradas até dezembro de 2021. O sistema já ultrapassa 1,46 bilhões em transações feitas desde que foi colocado em operação, em novembro de 2020.
“Os vazamentos estão ficando cada vez mais comuns e preocupam, mas, geralmente, como aconteceu neste caso, a falha é direta da instituição financeira. Não há nenhum problema nos sistemas do BC ou do Pix. Por algum erro na instituição, em seu app ou site, o vazamento ocorreu.”, diz Marcelo Martins, representante da ABFintechs, que faz parte do grupo de trabalho do Pix no BC.
“A empresa avisa os clientes e o BC avisa todas as instituições participantes do Pix. Caso algum cliente delas esteja envolvido, eles também serão avisados por elas. Ou seja, o incidente aconteceu na empresa A, mas a empresa B, se tiver cliente envolvido, também precisa informá-lo”, acrescenta.
Comparado com os dois casos recentes, este vazamento é de menor magnitude, mas de qualquer maneira os usuários precisam ficar atentos.
Vale lembrar que as chaves Pix funcionam como uma identificação do usuário dentro do sistema, que permite que o mesmo somente receba valores.
“Isso significa que mesmo em posse dessa informação, não é possível o acesso ao saldo ou lançamentos da conta ou a realização de pagamentos ou transferências”, disse o BC.
A grande preocupação é com a chamada engenharia social. “O vazamento pode ser utilizado para aplicação de golpes, como, por exemplo, o golpista tentar persuadir a vítima de que é um funcionário do banco para tentar obter as credenciais de senha do usuário”, disse o BC.
Recentemente, o Pix serviu de ferramenta para criminosos roubarem R$ 6 milhões da pequena cidade de Crixás, no norte de Goiás. Os criminosos fizeram uso do desconhecimento e da confiança das vítimas para aplicar golpes financeiros com um sistema que transfere o dinheiro imediatamente.
“É uma falha de segurança, que expõe dados dos usuários, e não há risco imediato. Porém, com dados como esses em mãos, os criminosos podem tentar aplicar os golpes de engenharia social, podem mandar um e-mail para vítima pedindo a troca da senha da conta, por exemplo, porque aconteceu o vazamento. E a pessoa cai. Esse é o risco: abre margem para várias tentativas de outros golpes”, avalia Rogerio Melfi, gerente de Open Finance da TecBan.
Como se proteger?
redobrar a atenção nas comunicações oficiais da instituição;
não clicar em nenhum tipo de link suspeito, que não seja diretamente ligado aos canais do banco;
ignorar qualquer tipo de telefonema ou e-mail suspeitos e procurar os canais oficiais do banco;
Por isso, o BC explica que os clientes afetados pelo vazamento serão notificados pela instituição financeira “exclusivamente por meio do aplicativo”.
E faz um alerta: “nem o BC, nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, explicou o órgão em nota.
Todas as instituições que operam e oferecem o Pix a clientes são fiscalizadas pelo Banco Central e precisam seguir regras específicas. O InfoMoney entrou em contato com o Banco Central para questionar como a fiscalização vem sendo feita e aguarda um retorno.
A Logbank também foi contatada, mas até esta publicação, não respondeu aos questionamentos da reportagem.
Para evitar problemas, a dica é: cadastre chaves aleatórias que tenham menos informações pessoais possíveis.
imprimir
