Cuidado com seu PIX: quais dados foram vazados, quais os riscos e como se proteger

Publicada em 06/02/2022 às 20:32h - 52 visualizações

Pela terceira vez desde seu início, dados relacioandos ao PIX foram vazados na primeira semana de fevereiro, segundo informações do Banco Central.

Apesar do BC ser o “responsável técnico” pelo PIX, quem opera e faz a gestão dos dados são as instituições financeiras e estes vazamantos acontecem por vulnerabilidades na proteção de dados dentro dessas empresas. Portanto, nenhum dos vazamentos foram falhas do Banco Central.

Os vazamentos podem acontecer de várias formas: invasão ou divulgação indevida de bancos de dados, exposição dos dados fora dos sistemas da instituição, e-mails para remetentes desprotegidos e assim por diante. Segundo especialista, os vazamentos ocorreram por falha humana, podendo ser provocado, por exemplo, por alguém que clica num link capaz de roubar toda base de dados.

Entre os casos registrado envolvendo o vazamento de PIX, aconteceram:

•  Logbank Soluções em Pagamentos S/A. Houve o vazamento de dados de 2.112 chaves PIX, contendo o nome do usuário, o CPF, a instituição de relacionamento e o número da conta;
• Acesso Soluções de Pagamento. 160.147 chaves expostas. Segundo o BC, as informações obtidas eram de natureza cadastral e não permitiram movimentação de recursos, nem acesso às contas ou a outras informações financeiras;
• Banco do Estado de Sergipe (Banese). Houve consulta a 395.009 chaves PIX que estavam sob a guarda e a responsabilidade da instituição. O BC disse que o vazamento “envolveu informações de natureza cadastral, que não dão margem à movimentação de recursos ou acesso a contas".

Em cada vazamento, um dado diferente foi vazado, mas as últimas ocorrências envolvendo o PIX deram acesso às chaves de cliente das instituições financeiras, junto com dados relacionados, como CPFs.

De acordo com o Banco Central, as chaves PIX são apenas uma identificação facilitada para recebimento de recursos, como instituição de relacionamento, agência, conta e tipo da conta. Não há, portanto, acesso a saldo, fluxos de pagamentos e outras movimentações bancárias.

As pessoas que tiveram seus dados cadastrais expostos a partir do incidente serão notificadas "exclusivamente por meio do aplicativo de sua instituição de relacionamento".

Apesar de não ceder acesso a conta, o Banco Cental alerta que a exposição das informações pode ser utilizada para aplicação de golpes de “engenharia social”. Ou seja, o golpista tentar persuadir a vítima a entregar a liberação ao acesso da conta em questão. Um exemplo comum é o indivíduo, em posse das informações, fingir ser um funcionário do banco para tentar obter as credenciais do cliente.

Outro fator prejudicial é o cruzamento dos dados com os últimos dados vazado. Dessa forma, é possível que criminosos enviem faturas falsificadas como a de telefone, internet, IPVA, IPTU, entre outras, por e-mail. A vítima, identificando uma série de dados pessoais corretos, acredita que aquele débito é real e faz o pagamento.

Infelizmente, não há uma forma específica de proteção dos dados fora da escolha de instituições financeiras. A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2020, tem como objetivo garantir mais segurança e transparência no uso de informações pessoais coletadas por empresas públicas e privadas, impondo punições em determinados casos, que precisam ser analisados.