ATAQUE

Vazam 395 mil chaves PIX

01/10/2021 10:43

Dados foram obtidos por meio de ataque ao Banese, banco estatal do Sergipe.

Mais um dia, mais um vazamento de dados. Foto: Pexels.

Tamanho da fonte: -A+A

Um total de 395.009 chaves PIX, sendo todas elas do tipo telefone, vazaram depois de um ataque ao Banese, banco estatal do Sergipe.

Como isso aconteceu ainda não está totalmente claro, mas é possível compor um quadro a partir de informações parcialmente contraditórias divulgadas pelo Banco Central e o Banese.

O Banco Central divulgou o vazamento nesta quinta-feira, 30, apontando que os dados do Banese  foram expostos por “falhas pontuais em sistemas dessa instituição financeira”.

Em comunicado aos acionistas e ao mercado, o Banese afirmou que sua área técnica detectou consultas indevidas a dados de 395.009 chaves Pix, exclusivamente do tipo telefone de pessoas que não eram clientes do banco, mas para as quais clientes do banco fizeram transferências.

Segundo a instituição, os dados foram conseguidos a partir de duas contas bancárias de clientes do Banese, “provavelmente obtido mediante engenharia social (phishing ou similar)”.

É aí que a história começa a se complicar. Embora o BC tenha informado que a falha se deu no sistema da instituição, o Banese afirmou que as consultas foram feitas diretamente em diretório administrado pelo BC, o Diretório de Identificadores de Contas Transacionais –DICT.

Segundo explica o Banese, o DICT é de acesso restrito às instituições que iniciam o procedimento para realização de uma transação por PIX, e contém informações de natureza cadastral como nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave.

Como um ataque pode se infiltrar em duas contas do Banese e a partir disso atingir o DICT, o Banese não chega a explicar, e também fica além da imaginação desse repórter.

No que tanto o Banese quanto o BC estão de acordo é que não houve a exposição de dados mais sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. 

O Banese afirmou ter revogado o acesso às duas contas utilizadas e ter implementado mecanismos de segurança “visando evitar que casos semelhantes voltem a ocorrer”.

O BC disse ter adotado as ações necessárias para a apuração detalhada do caso e “aplicará as medidas sancionadoras previstas na regulação vigente”.

OK, E COMO FICAM OS CLIENTES?

De acordo com o BC, as pessoas que tiveram seus dados cadastrais vazados serão notificadas exclusivamente por meio do aplicativo do seu banco.

No que provavelmente é uma medida para evitar que os dados vazados sejam usados para promover fraudes ou novos vazamentos, o BC alerta que comunicações sobre o assunto serão exclusivas via app.

“Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou email”, alerta o BC.

Veja também

TRANSFERÊNCIAS
Procon-SP quer limitar Pix em R$ 500 por mês

Para o órgão, limitar as transações noturnas não é suficiente para inibir sequestros. 

CRIME
Sequestros-relâmpagos agora “aceitam” Pix

Segundo levantamento da Folha de S. Paulo, a prática tem se tornado comum.

CONTAINERS
Original tem infra com Red Hat

OpenShift foi usado para processar o Pix e preparar a próxima fase do open banking.

PAGAMENTOS
Aliexpress agora aceita PIX

Gigante chinesa é o primeiro marketplace internacional a aderir ao serviço.

DEVOPS
PayGo migra para Github com Ilegra

A companhia utilizava o BitBucket para a parte de repositório, além de usar o Jenkins.

PLAYER
Totvs tem spin off financeiro com B3

Gigante de software uniu forças com Bolsa de Valores para criar nova empresa.