O Banco Central (BC) emitiu um alerta nesta quinta-feira sobre um vazamento de dados de chaves Pix pelo Banco do Estado de Sergipe (Banese). Foram detectadas mais de 395.009 chaves de pagamento utilizadas para consultas indevidas.
A instituição informou que o ocorrido não afetou a privacidade de senhas, históricos de transações ou informações sobre as finanças de seus clientes. Esse é o primeiro incidente de segurança de dados do Pix desde que o sistema da pagamentos instantâneos foi criado pelo BC em novembro de 2020.
Em nota o BC informou que as informações obtidas são de natureza cadastral e, não permitem movimentação de recursos nem acesso às contas ou a outras informações financeiras.
O banco Banese que é controlado pelo governo de Sergipe, ressaltou que o vazamento ocorreu nas chaves cadastradas com números de telefone, de pessoas que não são clientes do banco, a partir do acesso de duas contas bancárias de clientes. A empresa acredita que os dados foram obtidos por meio de golpes de engenharia social, como phishing (um tipo de roubo de identidade online).
Uma apuração dos fatos está sendo trabalhada entre as instituições, ações para a contenção e medidas técnicas, como a revogação do acesso às duas contas utilizadas e a implementação de mecanismos de segurança, estão sendo tomadas, para evitar que casos semelhantes voltem a ocorrer.
O vazamento foi apenas das chaves Pix, que não permitem movimentação de recursos nem acesso às contas. A chave Pix é como uma identidade de cada usuário no novo sistema de pagamento e pode ser tanto um CPF, um e-mail, um número de telefone quanto uma chave alfanumérica aleatória. O número é utilizado para facilitar as transações.