O Banco Central informou nesta quinta-feira (30) que ocorreu vazamento de dados de chaves Pix sob a guarda e a responsabilidade do Banese (Banco do Estado de Sergipe S.A.). Segundo o BC, a ocorrência se deu em razão de “falhas pontuais em sistemas” da instituição financeira.
“Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, não permitem movimentação de recursos nem acesso às contas ou a outras informações financeiras”, informou o BC por meio de nota.
Aquelas pessoas que tiveram os dados cadastrais obtidos em razão desse incidente serão notificadas, de acordo com o BC, “exclusivamente” por meio do aplicativo da instituição de relacionamento. “Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação com os usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou email.”
O Banco Central informou ainda que adotou as ações necessárias para a apuração detalhada do caso e que serão aplicadas sanções previstas na regulação vigente.
“Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação”, diz o BC em nota.
Phishing
O Banese publicou um comunicado ao mercado esclarecendo o ocorrido. Segundo a instituição financeira, a área técnica detectou consultas indevidas a dados relacionados a 395 mil chaves Pix, exclusivamente do tipo telefone, de não clientes do banco. O acesso foi feito com base em duas contas bancárias de clientes do Banese, que provavelmente foram roubadas por meio de “phishing”, ou seja, com links maliciosos. Essas contas foram revogadas.
O Banese também informa que o vazamento “não afetou a confidencialidade de senhas, histórico de transações ou demais informações financeiras de seus clientes”.
Segundo o comunicado, as consultas foram realizadas no diretório de identificadores de contas transacionais (DICT), administrado pelo BC e de acesso restrito às instituições que iniciam o procedimento para realização de uma transação por Pix. O diretório contém informações de natureza cadastral: nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e a data de registro da chave.
O banco informou o ocorrido à ANPD (Autoridade Nacional de Proteção de Dados), que, com o BC, está trabalhando na apuração e na comunicação do incidente. “De forma tempestiva foram adotadas ações de contenção e medidas técnicas, como a revogação do acesso às 2 (duas) contas utilizadas e a implementação de mecanismos de segurança visando a evitar que casos semelhantes voltem a ocorrer”, diz o comunicado do Banese.
O banco reforçou medidas de segurança para evitar a técnica de engenharia social utilizada por golpistas:
– Sempre suspeitar de mensagens SMS ou em aplicativos enviadas por números desconhecidos e nunca clicar em links enviados por tais números;
– Ter atenção redobrada ao receber ligações de pessoas se passando por bancos e jamais fornecer informações pessoais, códigos recebidos via SMS ou senhas bancárias;
– Ter cuidado com emails e páginas falsas que tentem se passar por qualquer instituição financeira;
– Nunca utilizar senhas fáceis de serem descobertas.