Mais um incidente: BC confirma vazamento de dados com chaves Pix da Logbank
O Banco Central informou nesta quinta (3) que ocorreu mais um vazamento de chaves Pix. Desta vez são dados envolvendo chaves vinculadas à Logbank Soluções de Pagamentos.
Foram 2.112 chaves afetadas com a divulgação de nome do usuário, CPF, instituição de relacionamento e número da conta.
A LogBank é uma empresa de meios eletrônicos de pagamentos que atua no segmento Business-to-Business-to-Consumer (B2B2C, na sigla em inglês). Nesse modelo, a indústria vende diretamente ao consumidor, mas a venda é facilitada por outro negócio (distribuidor, varejista ou atacadista), incluindo toda a cadeia comercial.
Esse é o terceiro incidente de segurança com participantes do sistema de pagamentos instantâneos desenvolvido pelo Banco Central e o segundo informado em menos de duas semanas.
Desta vez, o BC não divulgou quais foram as causas do incidente com as chaves Pix. Nos episódios anteriores, envolvendo o Banco do Estado de Sergipe (Banese), com 414.526 chaves afetadas, e a Acesso Soluções de Pagamento (160.147 chaves), a autarquia havia dito que os vazamentos foram provocados por falhas pontuais nos sistemas das instituições.
O órgão tampouco divulgou como as pessoas que foram afetadas serão notificadas. O BC se limitou a dizer novamente que os dados expostos não eram sensíveis e informou que a Autoridade Nacional de Proteção de Dados (ANPD) foi avisada e que as pessoas afetadas serão notificadas. “Apesar da baixa quantidade de dados envolvidos, o BC sempre adota o princípio da transparência nesse tipo de ocorrência”, disse, em nota.
Mas a autarquia afirmou que não irá informar novos incidentes por Nota à Imprensa ou por comunicações diretas aos jornalistas.
Segundo o BC, a página criada com incidentes (https://www.bcb.gov.br/acessoinformacao/lgpd?modalAberto=registro_de_incidentes_com_dados_pessoais) será “mantida permanentemente atualizada”.
Por meio de nota, a Logbank informou que sofreu uma tentativa de invasão em suas plataformas digitais em 24 e 25 de janeiro. No entanto, a empresa informou que o ataque aos dados foi contido pelas equipes de segurança e que nenhum cliente sofreu prejuízo financeiro. A empresa ressaltou os investimentos em segurança e tecnologia e disse que os recursos dos clientes “estão e sempre estiveram sob máxima vigilância e segurança”.
“O incidente foi detectado e controlado instantaneamente pelas ferramentas e equipes de segurança. Nenhum dado sensível foi vazado e não houve qualquer movimentação financeira indevida ou prejuízo financeiro para os clientes relacionados com este incidente, cujo alcance permaneceu extremamente limitado”, destacou a companhia.
BC confirmou em janeiro outro vazamento de chaves Pix
O Banco Central anunciou em 21 de janeiro que foram vazados dados pessoais de 160 mil chaves Pix entre o dia 3 a 5 de dezembro de 2021, em razão de falhas pontuais em sistemas da empresa Acesso Soluções de Pagamento.
Inicialmente, o BC tinha divulgado que o vazamento no Banese tinha atingido 395 mil chaves, mas o número foi revisado mais tarde. Por determinação da Lei Geral de Proteção de Dados, a autoridade monetária mantém uma página em que os cidadãos podem acompanhar incidentes relacionados com a chave Pix ou demais dados pessoais em poder do BC.
O incidente expôs dados como nome de usuário, Cadastro de Pessoas Físicas (CPF), instituição de relacionamento, número de agência e número da conta.
No entanto, as informações vazadas não se tratam de dados sensíveis, como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou outras informações sob sigilo bancário, explicou o BC.
Todas as pessoas que tiveram informações expostas serão avisadas por meio do aplicativo da Acesso ou do internet banking da instituição, diz o BC — exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento.
O Banco Central ressaltou que esses serão os únicos meios de aviso para a exposição das chaves Pix e pediu para os clientes desconsiderarem comunicações como chamadas telefônicas, SMS e avisos por aplicativos de mensagens e por e-mail.
“As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras“, afirmou o banco.
Essa não era a primeira vez que ocorre vazamento de dados cadastrais do Pix. Em setembro do ano passado, o Banco Central comunicou o vazamento de dados e chaves Pix de correntistas do Banco do Estado de Sergipe, Banese (BGPI3). Segundo o BC, o vazamento aconteceu em decorrência de falhas pontuais em sistemas da instituição financeira.
A exposição de dados não significa necessariamente que todas as informações tenham vazado, mas que ficaram visíveis para terceiros durante algum tempo e podem ter sido capturadas. O BC informou que o caso será investigado e que sanções poderão ser aplicadas, como multa, suspensão ou até a exclusão da Acesso do sistema do Pix.
Resposta sobre o vazamento das chaves Pix em janeiro
Em nota, a Acesso Pagamentos esclareceu ter tomado medidas para garantir a segurança dos dados. “Reforçamos que tomamos, de forma tempestiva, todas as providências necessárias para garantir a segurança das informações mantidas pela companhia e o nosso compromisso em manter o mercado e nossos parceiros informados”, informou o comunicado.
A instituição de pagamentos orientou os clientes que forem comunicados do vazamento a ficarem atentos para possíveis golpes, como envios de links para falsos sites que capturem senhas bancárias. A Acesso ressaltou que os únicos canais oficiais de comunicação são o aplicativo e o site da empresa.
A Acesso é uma instituição de pagamento que oferece serviços como banco digital, plataformas para aplicações financeiras e cartões recarregáveis. Em agosto, ocorreu o vazamento de dados 414,5 mil chaves Pix por número telefônico do Banco do Estado de Sergipe (Banese). Assim como desta vez, na ocasião foram vazados dados cadastrais, sem a exposição de senhas e de saldos bancários. Inicialmente, o BC tinha divulgado que o vazamento no Banese tinha atingido 395 mil chaves, mas o número foi revisado mais tarde. Por determinação da Lei Geral de Proteção de Dados, a autoridade monetária mantém uma página em que os cidadãos podem acompanhar incidentes relacionados com a chave Pix ou demais dados pessoais em poder do BC.
Com Estadão Conteúdo e Agência Brasil