(Banco Central) registrou o primeiro caso de vazamento de chaves Pix, sistema de pagamentos instantâneos. Segundo a autarquia informou nesta quinta-feira (30), dados de clientes do Banese (Banco do Estado de Sergipe) foram expostos por “falhas pontuais em sistemas dessa instituição financeira”.
Em comunicado aos acionistas e ao mercado, o Banese afirmou que sua área técnica detectou consultas indevidas a dados de 395.009 chaves Pix, exclusivamente do tipo telefone de pessoas que não eram clientes.
O BC não confirmou o total de chaves expostas.
Segundo a instituição, os dados foram conseguidos a partir de duas contas bancárias de clientes do Banese, “provavelmente obtido mediante engenharia social (phishing ou similar)”.
Embora o BC tenha informado que a falha se deu no sistema da instituição, o Banese afirmou que as consultas foram feitas diretamente em diretório administrado pelo BC.
“Tais consultas foram realizadas no Diretório de Identificadores de Contas Transacionais -DICT, administrado pelo Banco Central e de acesso restrito às Instituições que iniciam o procedimento para realização de uma transação por PIX, e contém informações de natureza cadastral: nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave”, disse o comunicado da instituição.
“Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, disse o BC em nota.
O banco disse que “o evento não afetou a confidencialidade de senhas, histórico de transações ou demais informações financeiras de seus clientes”.
