Banco Central confirma ter identificado vazamento de milhares de chaves do PIX
Chaves eram "exclusivamente" do tipo telefone, de não-clientes do Banese
Por Itasat
O Banco Central (BC) informou na noite dessa quinta-feira (30), que ocorreu vazamento de dados de chaves Pix sob a guarda e a responsabilidade do Banco do Estado de Sergipe S.A (Banese). Segundo o BC, a ocorrência se deu em razão de "falhas pontuais em sistemas" da instituição financeira. Após o comunicado, o Banese soltou confirmou a ocorrência de vazamento.
Segundo o Banese, a área técnica detectou "consultas indevidas" a dados relacionados a 395.009 chaves Pix. Ainda de acordo com o banco, as chaves eram "exclusivamente" do tipo telefone, de não-clientes do Banese, "provavelmente obtido mediante engenharia social (phishing ou similar)". A prática conhecida como "phishing" é uma ação fraudulenta para tentar adquirir ilicitamente dados pessoais de outra pessoa.
O vazamento de dados foi informado pelo Banco Central um pouco mais cedo. No comunicado, o BC destaca que a ocorrência se deu em razão de "falhas pontuais em sistemas" da instituição financeira, mas destaca que não foram expostos dados sensíveis, como senhas ou informações de movimentações financeiras.
O Banese também informa que o evento "não afetou a confidencialidade de senhas, histórico de transações ou demais informações financeiras de seus clientes".
Segundo o comunicado do banco, as consultas foram realizadas no Diretório de Identificadores de Contas Transacionais - DICT, administrado pelo BC e de acesso restrito às instituições que iniciam o procedimento para realização de uma transação por Pix, e contém informações de natureza cadastral: nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave.
O banco informou o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), que, juntamente com o BC, está trabalhando na apuração e comunicação dos fatos. "De forma tempestiva foram adotadas ações de contenção e medidas técnicas, como a revogação do acesso às 02 (duas) contas utilizadas e a implementação de mecanismos de segurança visando evitar que casos semelhantes voltem a ocorrer", diz o comunicado do Banese.
