Falha do Banese vaza quase 400 mil chaves do Pix

Uma falha de segurança do Banco do Estado de Sergipe (Banese) permitiu o vazamento de 395 mil chaves Pix, expondo dados telefônicos de 395 mil clientes. Em comunicado, o banco estatal confirmou que dados cadastrais de pessoas que não são seus clientes foram acessados indevidamente. Por sua vez, o Banco Central (BC) informou que não foram expostos dados sensíveis, como senhas, valores movimentados e saldos nas contas. Os telefones de clientes, no entanto, foram capturados por pessoas de fora da instituição.

Segundo informou o Banese, as quase 400 mil chaves Pix foram obtidas “mediante engenharia social”. Apesar de informar que a atividade maliciosa não compromete senhas, extratos, históricos e informações financeiras, o banco relata que o sistema ao qual os invasores tiveram acesso, chamado Diretório de Identificadores de Contas Transacionais (DICT), também guarda dados como nome, CPF, banco em que a chave está registrada, agência, conta, data da abertura da conta e data de registro da chave Pix.

Pessoas serão notificadas

De acordo com o BC, as informações obtidas não permitem movimentação de recursos nem acesso às contas ou a outras informações financeiras. As pessoas com dados vazados serão notificadas exclusivamente por meio do aplicativo da instituição financeira, sem avisos por chamadas telefônicas, aplicativos de mensagem, SMS ou e-mail.

O Banco Central revela ainda que o vazamento decorreu de “falhas pontuais” nos sistemas do Banese. O órgão informou ter adotado as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação. A autoridade monetária esclareceu que a divulgação do vazamento de dados cadastrais do Pix não é exigida pela legislação, porque tem pouco impacto para os usuários. Mesmo assim, decidiu comunicar o incidente por ter compromisso com a transparência.