Banco Central torna público primeiro vazamento de chave PIX

Nesta quinta-feira (30), o Banco Central informou que houve um vazamento de dados de chaves do Pix do tipo telefone. As informações acessadas de maneira indevida estavam sob a tutela do Banco do Estado de Sergipe (Banese). Por meio da técnica de engenharia social, cerca de 395 mil chaves do sistema de pagamento instantâneo foram obtidas por hackers.

Segundo a autarquia, o vazamento ocorreu por conta de “falhas pontuais em sistemas da instituição financeira e envolveu informações de natureza cadastral, que não dão margem à movimentação de recursos ou acesso a contas”.

Confira aqui a nota oficial do Banco Central

Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de vazamento de dados de chaves Pix sob a guarda e a responsabilidade do Banco do Estado de Sergipe S.A (Banese), em razão de falhas pontuais em sistemas dessa instituição financeira.  

Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.

As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo de sua instituição de relacionamento. Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou email.

Além disso, o BC adotou as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação vigente.

Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.

Dúvidas em relação ao caso serão tratadas pelo email: [email protected].

O que diz o Banese

O Banese informa na nota que o vazamento foi feito por meio de duas contas bancárias de clientes, “provavelmente obtido mediante engenharia social (phishing ou similar)”.

Embora as duas instituições afirmem que não foram expostos dados sensíveis, a nota do Banese afirma que “tais consultas foram realizadas no Diretório de Identificadores de Contas Transacionais – DICT, administrado pelo Banco Central do Brasil (“BACEN”) e de acesso restrito às Instituições que iniciam o procedimento para realização de uma transação por PIX, e contém informações de natureza cadastral: nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave”.

Confira a nota (Comunicado de Mercado) do Banese

O Banco do Estado de Sergipe S.A. (“BANESE ou Companhia”), banco múltiplo, constituído sob a forma de sociedade anônima de economia mista, comunica aos seus acionistas e ao mercado em geral que sua área técnica detectou consultas indevidas a dados relacionados a 395.009 chaves PIX, exclusivamente do tipo telefone, de não-clientes da Companhia, a partir do acesso de 02 (duas) contas bancárias de clientes do BANESE, provavelmente obtido mediante engenharia social (phishing ou similar). A Companhia informa que o evento não afetou a confidencialidade de senhas, histórico de transações ou demais informações financeiras de seus clientes.

Tais consultas foram realizadas no Diretório de Identificadores de Contas Transacionais – DICT, administrado pelo Banco Central do Brasil (“BACEN”) e de acesso restrito às Instituições que iniciam o procedimento para realização de uma transação por PIX, e contém informações de natureza cadastral: nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave.

Nos termos das legislações aplicáveis, em conformidade com a Política de Segurança da Informação e Cibernética do BANESE e com a Resolução CMN nº 4.893/2021, o BANESE comunicou o ocorrido à Autoridade Nacional de Proteção de Dados – ANPD e, em conjunto com o BACEN, tem trabalhado na apuração e comunicação dos fatos. De forma tempestiva foram adotadas ações de contenção e medidas técnicas, como a revogação do acesso às 02 (duas) contas utilizadas e a implementação de mecanismos de segurança visando evitar que casos semelhantes voltem a ocorrer.

Diante do evento detectado, e como forma de prevenção, a Companhia reforça a necessidade da adoção de cuidados básicos a serem seguidos pelos usuários do Sistema Financeiro: i) sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números; ii) ter atenção redobrada ao receber ligações de pessoas se passando por Bancos e jamais fornecer informações pessoais, códigos recebidos via SMS ou senhas bancárias; iii) ter cuidado com e-mails e páginas falsas que tentem se passar por qualquer instituição financeira; iv) nunca utilizar senhas fáceis de serem descobertas.

Por fim, a administração do BANESE reforça o compromisso de manter o mercado informado, bem como com a transparência e com a segurança das informações mantidas pela Companhia.

Aracaju (SE), 30 de setembro de 2021.

Alessio de Oliveira Rezende

Diretor de Finanças, Controles e Relações com Investidores

Como se proteger e o que fazer

O banco reforçou medidas de segurança para evitar a técnica de engenharia social utilizada por golpistas:

• Sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números;
• Ter atenção redobrada ao receber ligações de pessoas se passando por bancos e jamais fornecer informações pessoais, códigos recebidos via SMS ou senhas bancárias;
• Ter cuidado com emails e páginas falsas que tentem se passar por qualquer instituição financeira;
• Nunca utilizar senhas fáceis de serem descobertas.

Apesar da afirmação de que os dados comprometidos não dão margem à movimentação de recursos ou acesso a contas, o sistema invadido guarda muitos dados, como nome, CPF, banco em que a chave está registrada, agência, conta, data da abertura da conta e data de registro da chave Pix