BC amplia segurança após vazamento de chaves Pix

A medida foi tomada após vazamento de chaves por falha na rede do Banese que expôs informações de 395 mil pessoas.

O BC (Banco Central) diz ter adotado mecanismos complementares de monitoramento dos sistemas das instituições financeiras participantes do Pix, sistema de pagamentos instantâneos. A medida foi tomada após vazamento de chaves por falha na rede do Banese (Banco do Estado de Sergipe) na quarta-feira (30), que expôs informações de 395 mil pessoas.

De acordo com a autarquia, uma das iniciativas foi reforçar o tratamento de consultas no sistema de chaves em volumes atípicos.

Em comunicado aos acionistas, o Banese afirmou que sua área técnica detectou consultas indevidas a dados de chaves exclusivamente do tipo telefone de pessoas que não eram clientes. As informações foram conseguidas a partir de duas contas bancárias de clientes do banco.

Segundo a autoridade monetária, o Banese também implementou medidas para reparar a falha identificada no sistema, que “não seguia integralmente as determinações previstas no Manual de Segurança do Pix”.

“Do lado do BC, foram implementados mecanismos complementares de monitoramento aplicáveis a todas as instituições participantes do Pix, que inclui reforço no tratamento de consultas em volumes atípicos”, afirmou o BC em nota.

Além disso, a autarquia esclareceu que não houve falha no sistema do BC.

“Não foi explorada nenhuma vulnerabilidade em qualquer sistema do BC. O hacker acessou as informações utilizando a infraestrutura tecnológica do sistema do Banese, explorando falhas graves de segurança no aplicativo da instituição”, alegou.

“Em suma, quem acessou o DCIT [diretório administrado pela autarquia] foi o próprio participante Banese. O desconhecido não autorizado jamais teve acesso direto aos sistemas do BC”, completou.

O BC ressaltou que as medidas já adotadas reduzem o risco de outro vazamento de dados.

Para Rafael Stark, presidente da fintech Stark Bank, o sistema do Pix é seguro. “O vazamento é uma falha exclusiva do banco Banese”, afirmou.

O especialista levantou algumas hipóteses que podem levar a vazamentos de chaves Pix.

“Caso haja vazamento interno por funcionários maliciosos, apenas uma melhora na governança e alto controle de acesso às informações podem evitar isso”, ressaltou.

“Se o vazamento ocorre em razão de clientes maliciosos do banco fazendo varreduras das chaves do Pix por bots, chutando o número do telefone até que se encontre uma chave válida, por exemplo, cabe ao banco monitorar clientes com excesso de tentativas de chaves inválidas e bloquear o acesso do cliente”, pontuou.

O Banese afirmou que possivelmente o hacker obteve as informações mediante engenharia social.

“Nesse caso, cabe ao banco orientar os clientes apenas a falarem através dos canais oficiais do Banco e nunca através de SMS, email ou links enviados de fontes desconhecidas”, alertou Stark.

O criminoso que utiliza engenharia social engana a sua vítima ao se passar por uma instituição ou site confiável e faz com que ela forneça os dados.

Peterson dos Santos, especialista em segurança de dados e presidente da empresa de tecnologia Trio, não atribui o vazamento à falta de segurança do sistema do Pix.

Ele ressalta que a implementação do novo meio de pagamento foi muito rápida. “Por isso estão aprimorando diariamente a capacidade de evitar fraudes e com certeza isso continuará acontecendo durante os próximos meses”, disse.

Para o especialista, os dados contidos nas chaves não são sensíveis. “Não há motivos para supervalorizar o vazamento e desacreditar de um projeto da magnitude do Pix e com todas as suas implicações diretas na vida de toda a população”, ponderou.

Victor Hugo Pereira Gonçalves, presidente da Sigilo, instituto especializado em proteção de dados e segurança da informação, frisou que a chave Pix é um dado pessoal e o seu vazamento constitui infração do artigo 46 da Lei Geral de Proteção de Dados.

“Infelizmente, institucionalmente, o BC e a ANPD [Autoridade Nacional de Proteção de Dados] não tem feito nada, mas a situação é grave e requer atenção. Não está claro dentro das regras do Pix quais são os mecanismos de segurança adotados”, ponderou.

Em sua visão, a estrutura desenvolvida para as chaves é insegura e não gera confiança. “Ela demanda que cada instituição desenvolva sua parte e isso gera risco ainda maior. No caso do Banese talvez tenha sido o desenvolvimento que tenha dado brecha para o vazamento”, afirmou.

Nesta sexta-feira (1º), o presidente do BC, Roberto Campos Neto, afirmou que o aumento das fraudes no Pix está mais relacionado à reabertura da economia do que com as regras aplicadas ao sistema de pagamentos instantâneos.

Em evento virtual promovido pelo Morgan Stanley, ele ressaltou que o BC promoveu mudanças no Pix para evitar fraudes e outros crimes.

“Criamos um novo segmento do Pix só para evitar fraudes. Claro, houve um aumento no número de fraudes, mas isso está mais relacionado à reabertura da economia do que a forma como fazemos”, disse.

Campos Neto se referia às mudanças recentes implementadas pelo BC nas regras do Pix para aumentar a segurança e reduzir a vulnerabilidade dos sistemas às ações de criminosos em fraudes, sequestros e outros crimes.

Foi determinado, por exemplo, o limite de R$ 1.000 para operações em canais digitais com Pix e TED (Transferência Eletrônica Disponível) entre pessoas físicas à noite, que começa a valer em 4 de outubro.

Além disso, na semana passada, o BC publicou norma que permite que o banco retenha uma operação suspeita de fraude por até 72 horas, medida que passa a valer em 16 de novembro.

*

PRINCIPAIS MUDANÇAS SOBRE SEGURANÇA NO PIX

 

COMO ERA

– Limites: igual ao da TED em qualquer horário

– Operações suspeitas: o banco não podia reter nenhuma operação e a liquidação tinha que ser feita na hora

– Pedido de aumento de limite: cada banco tinha uma política

– Cadastro de contas: não era permitido

 

COMO FICA

– Limites: padrão de R$ 1.000 entre 20h e 6h, podendo ser modificado pelo cliente; medida também vale para TED e transferência no WhatsApp

– Operações suspeitas: o banco pode reter uma operação suspeita no Pix por 30 minutos durante o dia ou 60 minutos à noite para análise de risco

– Pedido de aumento de limite: o banco deve atender o pedido entre 24 horas e 48 horas após a solicitação

– Cadastro de contas: o cliente pode cadastrar contas previamente no Pix para fazer transações acima do limite estabelecido, mas mantendo o valor para as demais operações; o registro em canal digital deve ser feito 24 horas antes

Acesse a versão completa
Sair da versão mobile