O Banco Central (BC) comunicou mais um problema de vazamento de dados pessoais de clientes vinculados a chaves do Pix, agora na instituição de pagamento Acesso Soluções de Pagamento S.A. (Acesso). O incidente ocorreu de 3 a 5 de dezembro e envolveu 160.147 chaves Pix, com vazamento dos dados: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta.
Segundo o BC, o incidente de segurança ocorreu em “razão de falhas pontuais em sistemas” da Acesso. Em nota, o órgão informou que não foram expostos dados sensíveis dos clientes, como senhas, informações de movimentações ou saldos financeiros em contas, nem quaisquer informações sob sigilo bancário.
Segundo a instituição, “as informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”. Além disso, o BC informou que adotou as ações necessárias para apuração detalhada do caso e disse que aplicará medidas sancionadoras previstas na regulação vigente.
Na nota, a autarquia disse que as pessoas que foram atingidas pelo vazamento de dados serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento.
– Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail – alertou.
Segundo o órgão, a legislação não exige a comunicação desses incidentes ao público, mas o BC resolveu divulgar para a sociedade, “à vista do compromisso com a transparência que rege sua atuação”. O BC também criou uma página específica para registrar incidentes de segurança. Esta página pode ser acessada clicando aqui.
Esse é o segundo episódio de vazamento de dados vinculados a chaves Pix. Em 24 de agosto de 2021, problema semelhante ocorreu no Banco do Estado de Sergipe (Banese), com exposição de dados vinculados a 414.526 chaves.
Na época, o Banese publicou um comunicado ao mercado esclarecendo o ocorrido. Segundo a instituição financeira, a área técnica detectou consultas indevidas a dados relacionados a 395 mil chaves do Pix, exclusivamente do tipo telefone, de não clientes do banco.
O acesso foi feito a partir de duas contas bancárias de clientes do Banese, provavelmente roubadas por meio de “phishing”, ou seja, com links maliciosos. Essas contas foram canceladas.
*AE