BC registra vazamento de informações de chaves Pix pelo Abastece Aí

O Banco Central (BC) informou nesta sexta-feira que registrou vazamento de 137.285 chaves Pix sob responsabilidade do Abastece Aí, programa da rede de postos Ipiranga. O incidente de segurança ocorreu entre o dia 1º de julho e dia 14 de setembro e aconteceu por "falhas pontuais" no sistema do Abastece Aí, de acordo com o BC.

"Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail".

O BC também anunciou que adotou as "ações necessárias" para apurar o caso e poderá aplicar as sanções previstas no regulamento do Pix, que podem ser multa, suspensão ou até exclusão do sistema.

Em nota, a empresa disse que já bloqueou as atividades suspeitas e que não foram expostas senhas, informações de movimentações, saldos financeiros ou quaisquer outras informações sob sigilo bancário.

Paula Oliveira, especialista em Ciência de Dados com doutorado pela Universidade de São Paulo (USP), aponta que a exposição desses dados cadastrais podem trazer riscos porque os fraudadores podem tentar obter o restante das informações por meio da engenharia social.

— Quando esses dados cadastrais vazam isso significa que aumenta o risco da própria pessoa receber uma ligação, uma mensagem, um WhatsApp e ela própria completar os dados que faltam para que o fraudador possa fazer uma transação — disse.

Marcelo Queiroz, head de estratégia da ClearSale, empresa de soluções antifraude, ressaltou que as pessoas que tiveram seus dados expostos devem ter cuidado com contatos sobre alterações cadastrais ou “super promoções”.

Segundo o BC, não houve exposição de dados sensíveis, como senhas, informações de movimentação de recurso, saldos ou qualquer informação protegidas pelo sigilo bancário.

"As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras", diz em nota o BC.

As informações expostas incluem o nome do usuário, CPF, instituição de relacionamento, agência, número e tipo de conta, além da data de criação da chave Pix.

O BC informa que quem teve os dados cadastrais expostos será avisado exclusivamente por meio do aplicativo ou pelo internet banking da instituição.

— A primeira dica é nunca passar dados em um contato ou link que é enviado para alteração cadastral e sim pelo mecanismo oficial da instituição porque aí sim você está entrando pelo processo correto e não através dos mecanismos de engenharia social — afirmou.

A especialista em proteção de dados e compliance e sócia de Chediak Advogados, Cecilia Choeri, destaca que o fato dos dados expostos serem cadastrais não diminui a importância do vazamento porque essas informações ainda podem ser utilizadas por golpistas, por exemplo.

Choeri também aponta que se ficar confirmado que houve algum tipo de negligência pelo Abastece Aí ou que não houve atuação da empresa para garantir a segurança dos dados pessoais, a Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar sanções.

— Eu imagino que a empresa deve estar prestando todas as informações exigidas pela ANPD, que certamente vai querer saber mais para poder determinar se houve violação da lei em algum aspecto. É importante que tenham feito um bom dever de casa no sentido de se adequar à Lei Geral de Proteção de Dados (LGPD) e além disso, que eles também se cercaram e adotaram medidas técnicas de segurança para evitar que esse tipo de coisa acontecesse — disse a advogada.

Vazamento pela quarta vez
A exposição dos dados do Abastece Aí é o quarto do tipo desde o início de operação do Pix, em novembro de 2020. Os vazamentos sempre foram muito parecidos, afetando somente dados cadastrais e não os protegidos pelo sigilo bancário.

O primeiro foi em agosto de 2021, quando 414,5 mil chaves Pix foram expostas no Banco do Estado de Sergipe (Banese).

O segundo foi em dezembro do ano passado pela Acesso pagamentos. Na ocasião, 160 mil chaves Pix foram afetadas e informações como nome do usuário, CPF e número de agência foram expostos.

Já em janeiro deste ano, dados de 2,1 mil chaves Pix da Lobgank foram vazados, afetando informações de CPF, instituição de relacionamento, nome do usuário e número da conta.

O que diz a empresa
"A Abastece-aí, que opera o aplicativo de mesmo nome, comunica que em razão do incidente de segurança, do qual foi vítima, já bloqueou as atividades suspeitas.

Conforme informado pelo Banco Central, não foram expostas senhas, informações de movimentações, saldos financeiros ou quaisquer outras informações sob sigilo bancário. Potenciais informações indevidamente acessadas do PIX são dados cadastrais, não permitindo movimentação de recursos, nem acesso às contas ou a outras informações financeiras.

A empresa reforça que todas as medidas cabíveis a essa investigação já estão sendo tomadas"