Nesta sexta-feira (21/01), o Banco Central informou que ocorreu um vazamento de dados pessoais envolvendo 160,1 mil chaves Pix perante a empresa Acesso Soluções de Pagamento. Conforme o BC, aconteceram falhas específicas no sistema da empresa.
No comunicado o BC destacou que dados delicados e protegidos por sigilo bancário como senhas, saldos e informações de movimentação não sofreram exposição. No entanto, o que houve foi um vazamento de informações de origem cadastral, que não possibilita movimentação de recursos, segundo o BC.
A exposição dos dados aconteceu nos dias 3 e 5 de dezembro de 2021. Possivelmente as informações capturadas foram de nomes de usuários, CPF, instituições de relacionamento, números de conta e agência.
Chave Pix
No processo que envolveu a fase de exposição dos dados e a publicação do vazamento, a instituição apurou “detalhes” da situação e acompanhou os métodos adotados pelo Acesso para solucionar falhas nos sistemas da empresa. O Banco Central ainda informou que a empresa seguiu todos os prazos de retorno determinados pelo BC.
A partir das chaves Pix é possível identificar contas que facilitam as transações. Podendo ser usado números de telefone, e-mails, CPF, CNPJ ou até mesmo uma chave aleatória alfanumérica. Até o momento existem cerca de 365,7 milhões de chaves Pix pertencendo a pessoas físicas e 15,5 milhões sendo de empresas.
Protocolo da empresa
A instituição Acesso Pagamentos oferece pagamento de serviços como cartões recarregáveis, plataformas financeiras e bancos digitais. A empresa já divulgou uma nota garantindo que realizou ações para certificar a segurança das informações.
Segundo o Banco Central serão notificados todos os usuários que tiveram seus dados vazados, e essa comunicação será realizada através do app da Acesso ou por intermédio do internet banking, destacando que não haverá contato por telefone, SMS, mensagens ou e-mail.
Pix e rompimento da segurança
O que provavelmente pode ter acontecido para o rompimento da segurança digital com o vazamento foi a interferência de um hacker criando um programa para usar a plataforma de Acesso como meio de consultar os dados das contas das pessoas. Diz Marco Zanini, CEO da Dinamo Networks.
Contudo, é provável que o caminho utilizado pelo hacker tenha sido um banco de CPFs, preenchendo essa informação no app como se fosse realizar um Pix, porém no lugar de transferir, recolheu o nome das pessoas, os dados da agência e a conta.
Bloqueio do aplicativo por segurança
O correto teria sido um bloqueio do aplicativo após diversas consultas às chaves Pix sem a realização de transferência, e para a segurança das pessoas esses dados de conta e agência precisam estar anonimizados, como, por exemplo, um bloqueio da sessão obrigando o usuário a entrar novamente no app após ter realizado três vezes uma consulta sem realizar transferência.
Com os dados recolhidos um golpista pode facilmente telefonar para a pessoa que teve os dados vazados e dizer representar o banco em que ela tem conta, assim alegar que os dados foram vazados com o intuito de fazer um conjunto de perguntas e desse modo obter mais informações.
Conclusão
A partir do momento que uma pessoa teve seus dados vazados a primeira vez, sua atenção deve ganhar uma maior proporção, pois ele terá maiores chances de ser envolvido em outros golpes.
Por fim, o Banco Central adotou todas as ações que foram necessárias para averiguar a situação e poderá empregar as sanções pré estabelecidas no regulamento do Pix, podendo gerar multa, suspensão ou a exclusão do sistema.
