O Globo, n 32.310, 22/01/2022. Economia, p. 17
Vazamento afeta mais de 160 mil chaves Pix da Acesso, informa BC
Gabriel Shinohara
Dados não podem ser usados ​​para movimentar contas, mas especialistas alertam para uso em golpes financeiros
O Banco Central (BC) informou ontem que houve um vazamento de dados pessoais de 160,1 mil chaves Pix sob a responsabilidade da Acesso Soluções de Pagamento. Segundo o BC, houve falhas pontuais no sistema da empresa, que oferece serviços como cartões recarregáveis, banco digital e plataformas financeiras.
Em nota, o BC destacou que dados sensíveis protegidos pelo sigilo bancário, como senhas, saldos e informações de movimentação, não foram expostos. Vazaram apenas dados de natureza cadastral, que não permitem movimentação de recursos, assegurou o BC.
Os dados foram expostos entre 3 e 5 de dezembro do ano passado. As informações potencialmente vazadas são: userName, CPF, instituição de relacionamento, número da agência e conta.
De acordo com o BC, no período entre a exposição dos dados e a divulgação do vazamento, a instituição estava apurando "detalhadamente" o caso e monitorando as medidas adotadas pela Acesso para solucionar as falhas no sistema. Ainda de acordo com o Banco Central, a empresa respeitou todos os prazos de resposta estabelecidos pelo BC.
As chaves Pix são uma identificação de conta para facilitar as transações. Podem ser um número de telefone, CPF ou CNPJ, um e-mail ou até mesmo uma chave aleatória alfanumérica. Cada conta individual pode ter até cinco chaves.
Existem 365,7 milhões de chaves Pix para pessoas físicas e 15,5 milhões para empresas.
SEM SMS OU E-MAIL
Em nota, a Acesso disse que tomou "todas as medidas necessárias para garantir a segurança das informações".
O BC também informou ter adotado as “ações necessárias” para apurar o caso e disse que poderá aplicar sanções previstas no regulamento do Pix, que podem ser multa, suspensão ou até exclusão do sistema.
Segundo o BC, as pessoas cujos dados foram vazados serão avisadas apenas pelo aplicativo Acesso ou pelo internet banking. A autoridade monetária ressalta que não haverá comunicação por telefone, mensagens, SMS ou e-mail.
Marco Zanini, CEO da Dinamo Networks, empresa de segurança digital, diz que uma das possibilidades de o vazamento ter ocorrido seria a de um hacker construir um programa para usar a plataforma Acesso para consultar as informações das contas das pessoas.
Zanini explica que o hacker pode ter usado um Banco de CPFs, colocado essas informações no aplicativo para fazer um Pix, e ao invés de transferir, coletou os dados da agência, Conta e nome dos correntistas.
Segundo ele, isso representaria uma falha de segurança, pois o aplicativo deveria bloquear uma grande quantidade de consultas às chaves pix sem transferência.
— Por boas práticas de segurança, depois de três vezes em que consulto a chave Pix e não transfiro, essa sessão deve ser bloqueada, pois pode ser um robô verificando as chaves para pegar as informações da conta — diz o especialista.
Com esses dados, um golpista pode, diz Zanini, ligar para uma pessoa cujos dados vazaram alegando representar o banco em que tem conta:
— Ligo e falo: "Sou da Secretaria de Segurança do banco X. Como houve uma falha de segurança no banco tal, vou fazer perguntas por questão de segurança. Qual o nome da sua mãe? Do seu pai? Qual é a sua senha?" Muitos não falam, mas outros falam porque induz a pessoa a responder. Ela fala a senha, eu anoto. Agora eu tenho a agência, conta e senha, já consigo entrar no internet banking dela e fazer uma transferência para mim.
É MELHOR MUDAR A CHAVE
Para Thiago Cabral, sócio-gerente da Athena Security, é difícil identificar se um hacker acessou o banco de dados ou se foi um trabalho interno. Mas ele ressalta que a empresa terá que responder pela ocorrência.
O sócio do escritório urbano de Vitalino, Nagib Barakat, ressalta que quem teve os dados vazados precisa ter atenção redobrada para possíveis golpes, como mensagens com links suspeitos.
Cecilia Choeri, especialista em proteção e compliance digital, sócia do escritório Chediak Advogados, sugere a alteração das chaves pix e fique atento aos indícios de uso indevido das informações:
— Por exemplo, se você receber uma comunicação de uma operadora de telefonia dizendo "Obrigado por abrir uma conta", a recomendação é não clicar no link e procurar uma fonte confiável para verificar se está tudo certo, como ir a um ponto físico da operadora.
Em agosto de 2021 houve outro vazamento de chaves, em Banese, de Sergipe.