Terceiro vazamento de dados em seis meses gera receios sobre segurança do Pix
Especialistas dizem que, de posse das chaves, o hacker tem informações que facilitam a aplicação de golpes Com mais de 120 milhões de usuários cadastrados, o sistema de pagamentos instantâneos Pix é um sucesso incontestável. Ainda assim, com um terceiro vazamento de dados em seis meses, começam a surgir recdeios sobre a segurança do projeto capitaneado pelo Banco Central.
O BC informou hoje que vazaram dados cadastrais vinculados a 2.112 chaves Pix da LogBank. Em dezembro, haviam vazado dados de 160.147 chaves da Acesso Pagamentos. E em agosto do ano passado, no primeiro incidente do tipo, foram 414.526 chaves do Banese.
Sem dar detalhes, o BC afirmou apenas que no caso a LogBank não foram expostos dados sensíveis, que a Agência Nacional de Proteção de Dados (ANPD) foi avisada e as pessoas afetadas serão notificadas. Ainda assim, especialistas apontam que, de posse das chaves, o hacker tem informações que facilitam a aplicação de golpes — ligando para uma pessoa e se passando pelo banco dela, por exemplo.
LEIA MAIS:
Falha no sistema do Logbank causou novo vazamento de chaves Pix, diz BC
Tanto no caso do Banese como na Acesso, os criminosos aproveitaram vulnerabilidades no Diretório de Identificadores de Contas Transacionais (Dict), administrado pelo BC e de acesso restrito às instituições que iniciam o procedimento para realização de uma transação por Pix. O diretório contém informações de natureza cadastral, como nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave.
Em outubro do ano passado, quando o vazamento do Banese foi revelado, Rafael Zanatta, diretor da Associação Data Privacy Brasil de Pesquisa, comentou que o BC tem responsabilidade regulatória, porque foi quem estabeleceu todas as políticas institucionais do Pix, os critérios de segurança da informação dos sistemas das instituições autorizadas a participar da plataforma. “O BC tem falhado em construir uma metodologia mais pró-ativa de inspeção. Tem sido muito passivo. Só estabelece os critérios e depois verifica o que acontecer após o dano”. Segundo ele, é preciso debater uma a necessidade de uma cooperação técnica mais robusta entre o BC e a ANPD.
