Mais um dia, mais um vazamento de dados. Foto: Pexels.
Um total de 395.009 chaves PIX, sendo todas elas do tipo telefone, vazaram depois de um ataque ao Banese, banco estatal do Sergipe.
Como isso aconteceu ainda não está totalmente claro, mas é possível compor um quadro a partir de informações parcialmente contraditórias divulgadas pelo Banco Central e o Banese.
O Banco Central divulgou o vazamento nesta quinta-feira, 30, apontando que os dados do Banese foram expostos por “falhas pontuais em sistemas dessa instituição financeira”.
Em comunicado aos acionistas e ao mercado, o Banese afirmou que sua área técnica detectou consultas indevidas a dados de 395.009 chaves Pix, exclusivamente do tipo telefone de pessoas que não eram clientes do banco, mas para as quais clientes do banco fizeram transferências.
Segundo a instituição, os dados foram conseguidos a partir de duas contas bancárias de clientes do Banese, “provavelmente obtido mediante engenharia social (phishing ou similar)”.
É aí que a história começa a se complicar. Embora o BC tenha informado que a falha se deu no sistema da instituição, o Banese afirmou que as consultas foram feitas diretamente em diretório istrado pelo BC, o Diretório de Identificadores de Contas Transacionais –DICT.
Segundo explica o Banese, o DICT é de o às instituições que iniciam o procedimento para realização de uma transação por PIX, e contém informações de natureza cadastral como nome, F, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave.
Como um ataque pode se infiltrar em duas contas do Banese e a partir disso atingir o DICT, o Banese não chega a explicar, e também fica além da imaginação desse repórter.
No que tanto o Banese quanto o BC estão de acordo é que não houve a exposição de dados mais sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário.
O Banese afirmou ter revogado o o às duas contas utilizadas e ter implementado mecanismos de segurança “visando evitar que casos semelhantes voltem a ocorrer”.
O BC disse ter adotado as ações necessárias para a apuração detalhada do caso e “aplicará as medidas sancionadoras previstas na regulação vigente”.
OK, E COMO FICAM OS CLIENTES?
De acordo com o BC, as pessoas que tiveram seus dados cadastrais vazados serão notificadas exclusivamente por meio do aplicativo do seu banco.
No que provavelmente é uma medida para evitar que os dados vazados sejam usados para promover fraudes ou novos vazamentos, o BC alerta que comunicações sobre o assunto serão exclusivas via app.
“Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou email”, alerta o BC.
Maurício Renner 5wt6n
Editor at Baguete Diário