Pix tem 395 mil chaves vazadas pela 1ª vez desde que foi lançado

Fonte: O Globo
01/10/2021
Pix

Depois de o Banco Central (BC) alertar nesta quinta-feira sobre um vazamento de dados de chaves Pix pelo Banco do Estado de Sergipe (Banese), a instituição informou que detectou consultas indevidas a 395.009 chaves utilizadas no meio de pagamento.

O Banese informou porém, que o evento "não afetou a confidencialidade de senhas, histórico de transações ou demais informações financeiras de seus clientes".

É o primeiro incidente de segurança de dados do Pix desde que o sistema da pagamentos instantâneos foi criado pelo BC em novembro de 2020.

Em comunicado divulgado na noite desta quinta-feira, o banco controlado pelo governo de Sergipe ressaltou que o vazamento ocorreu nas chaves cadastradas com números de telefone, de pessoas que não são clientes do banco, a partir do acesso de duas contas bancárias de clientes do Banese.

A instituição também comunicou que os dados provavelmente foram obtidos por meio de golpes de engenharia social, como phishing. 

O banco informou ainda que tem trabalhado junto com o BC na apuração e comunicação dos fatos, e que adotou ações de contenção e medidas técnicas, como a revogação do acesso às duas contas utilizadas e a adoção de mecanismos de segurança para evitar que casos semelhantes voltem a ocorrer.

Segundo dados de agosto, existem 300,5 milhões de chaves Pix de pessoa física e 12,7 milhões de chaves ligadas a contas de empresas.

BC: Dados sensíveis não foram afetados

Em nota, o BC confirmou que dados sensíveis, como senhas, informações de movimentações e saldos não foram afetados. O vazamento foi apenas das chaves Pix, que não permitem movimentação de recursos nem acesso às contas.

A chave Pix é como uma identidade de cada usuário no novo sistema de pagamentos e pode ser tanto um CPF, um e-mail, um número de telefone quanto uma chave alfanumérica aleatória. O número é utilizado para facilitar as transações.

Vítimas serão notificadas

As pessoas que tiveram suas dados vazados serão notificadas pela instituição pelo aplicativo do seu banco. O BC alertou que nem a autoridade monetária nem outras instituições entrarão em contato com os clientes por qualquer outro meio de comunicação, como aplicativos de mensagem, telefone, SMS ou e-mail.

Segundo a nota, o BC já adotou as ações para apuração do caso e vai aplicar sanções previstas pela regulação do Pix.

"Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação", finalizou a nota.

Como forma de prevenção, o Banese recomendou que os clientes suspeitem de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca cliquem em links enviados por esses números.

Além disso, pediu que os clientes jamais forneçam informações pessoais, códigos recebidos via SMS ou senhas bancárias a estranhos e tenham cuidado com e-mails e páginas falsas que tentem se passar por qualquer instituição financeira. Por fim, que utilizem senhas seguras, que não possam ser descobertas com facilidade.

Vazamento pode gerar novos golpes

Roberto Achar, head de Threat Intelligence da ClearSale, afirma que pelo volume de dados vazados, principalmente considerando que são de uma única instituição, dificilmente o problema foi causado apenas por phishing.

— Como o volume de chaves é relativamente expressivo, acho difícil ter sido feito manualmente. Parece ter sido automatizado, e aí a causa mais provável é algum tipo de vulnerabilidade no sistema. Além disso, fraudadores que usam phishing costumam fazer ataques mais pulverizados, e não direcionados a um único banco.

Para o especialista em segurança digital, é positivo que não tenham sido expostos outros dados pessoais das vítimas, como senhas. No entanto, com acesso a dados básicos, como nome completo e o banco no qual o cliente tem conta, os criminosos conseguem colocar em prática outros golpes de engenharia social. Por exemplo, podem ligar para a vítima se passando pelo banco e solicitando que informe a senha ou faça algum tipo de transação.

— É muito importante que as pessoas cadastrem todas as suas chaves Pix para evitar que golpistas de posse desses dados criem chaves e se passem pela pessoa para enganar seus conhecidos. No entanto, ao criar as chaves nós estamos abrindo mão da privacidade desses dados. Hoje qualquer pessoa que tenha acesso ao CPF, telefone ou e-mail consegue descobrir com facilidade outros dados, como o banco onde a pessoa tem conta ou qual o seu endereço.

Fabio Assolini, analista sênior da Kaspersky no Brasil, também destaca que apesar de o vazamento das chaves Pix não ter um risco direto aos clientes, existe um potencial de novos golpes utilizando esses dados. Por isso, ele alerta que as vítimas fiquem atentas a mensagens suspeitas nos próximos dias.

— Com certeza nos próximos dias vão aparecer fraudadores utilizando esse incidente para realizar novos golpes. Por exemplo, podem se passar por um atendente do banco e dizer que houve um problema com a chave Pix e que o cliente deve clicar em um link para cadastrar a nova chave. Nessa hora, irão direcioná-lo para um site malicioso — alerta.

Ele também ressalta que dados supostamente inofensivos, como CPF ou telefone, podem oferecer um risco maior quando correlacionados a informações obtidas pelos criminosos em outros vazamentos.

Através do número do telefone, por exemplo, e de posse dos dados pessoais da vítima, os fraudadores podem realizar o golpe do SIMswap, que é a ativação do número de celular em outro chip.

— Isso geralmente permite o acesso ilegal a contas bancárias, já que o criminoso passa a ter acesso aos tokens que são enviados pelos bancos para liberar o acesso ao internet banking.

Mais proteção

Recentemente, o Banco Central tem determinado a implementação de mais medidas de segurança para o uso do Pix. Em agosto, anunciou que o sistema terá limite de R$ 1 mil no período noturno para eivtar golpes e fraudes. A medida passa a valer no dia 4 de outubro.

Além disso, bancos e outras instituições financeiras terão prazo mínimo de 24 horas e máximo de 48 horas para efetivar um pedido do usuário para aumento do limite de transações por Pix, boleto, TEDs e DOCs e cartão de débito. A ideia é impedir a possibilidade do aumento imediato e diminuir as situações de risco. A redução do limite continua sendo imediata.

Nesta semana, o BC anunciou que bancos poderão bloquear recursos de usuarios por até 72 horas em casos de suspeita e fraude. As instituições também vão passar a marcar uma chave Pix quando há fundada suspeita de fraude. Essa informação será compartilhada com outras instituições participantes do Pix.

Desenvolvido por:

Desenvolvido por: