O Banco do Estado de Sergipe (Banese) informou que sua área técnica detectou 395.009 consultas indevidas da chave Pix, sendo informações de gênero cadastral. O Banco Central já havia comunicado o primeiro caso de vazamento de chaves Pix nesta quinta-feira (30), segundo a entidade os dados dos clientes do banco alogano foram expostos por “falhas pontuais em sistemas dessa instituição financeira”.
A autoridade financeira não confirmou o total de chaves expostas. Segundo a instituição, os dados foram conseguidos a partir de duas contas bancárias de clientes do Banese, “provavelmente obtido mediante engenharia social”.
Embora o BC tenha informado que a falha se deu no sistema dado banco sergipano, o Banese afirmou que as consultas foram feitas diretamente em diretório administrado pela entidade.
“Tais consultas foram realizadas no Diretório de Identificadores de Contas Transacionais (DICT), administrado pelo Banco Central e de acesso restrito às Instituições que iniciam o procedimento para realização de uma transação por PIX, e contém informações de natureza cadastral: nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave”, disse o comunicado do Banese.
“Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, disse o BC em nota.
De acordo com a autoridade monetária, as pessoas que tiveram seus dados cadastrais vazados serão notificadas exclusivamente por meio do aplicativo do seu banco. “Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou email”, alertou.
O BC disse ter adotado as ações necessárias para a apuração detalhada do caso e “aplicará as medidas sancionadoras previstas na regulação”. “Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação”, afirmou o BC.
O Banese afirmou ter bloqueado o acesso às duas contas utilizadas e ter implementado mecanismos de segurança “visando evitar que casos semelhantes voltem a ocorrer”.