O Banco Central informou mais um vazamento de dados envolvendo chaves do Pix, agora vinculadas à Logbank Soluções de Pagamentos. Foram 2.112 chaves afetadas com a divulgação de nome do usuário, CPF, instituição de relacionamento e número da conta. Esse é o terceiro incidente de segurança com participantes do sistema de pagamentos instantâneos desenvolvido pelo Banco Central e o segundo informado em menos de duas semanas.
O Banco Central esclareceu que as informações foram acessadas explorando falhas de segurança da Logbank, e não vulnerabilidades em sistemas do órgão. Mais cedo, a autarquia apenas havia informado que o sistema que reúne incidentes de segurança havia sido atualizado, mas não havia divulgado as causas do novo vazamento.
“Não foi explorada nenhuma vulnerabilidade em qualquer sistema do BC. O desconhecido acessou as informações utilizando a infraestrutura tecnológica do sistema da Logbank, explorando falhas de segurança na implementação da instituição”, respondeu o BC, em nota, após ser questionado.
Nos episódios anteriores, envolvendo o Banco do Estado de Sergipe (Banese), com 414.526 chaves afetadas, e a Acesso Soluções de Pagamento (160.147 chaves), a autarquia havia dito que os vazamentos foram provocados também por falhas pontuais nos sistemas das instituições.
Em relação à Logbank, o órgão informou que adotou as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação vigente, que envolvem multas e inabilitação para atuar como administrador e para exercer cargo em órgão previsto em estatuto ou em contrato social.
A autarquia ainda admitiu que casos similares podem ocorrer se as instituições participantes do Pix não implementarem as medidas previstas no regulamento do sistema de pagamentos instantâneos. Segundo o BC, são realizadas ações de verificação de aderência da atuação dos participantes ao Regulamento do Pix. O BC ainda defendeu que os mecanismos de segurança implementados pelo órgão possibilitam “a identificação tempestiva e mitigam sobremaneira o potencial de chaves que podem ser expostas”.
O BC voltou a argumentar que o vazamento tem baixo impacto potencial para os usuários, já que as informações não são sensíveis ou sigilosas. “Parte delas são usualmente informadas pelos usuários ao se fazer uma TED ou DOC, estão impressas nos cheques e podem constar nos comprovantes das transações. Ressalta-se que as informações são de natureza cadastral, não permitindo a movimentação de recursos, nem acesso às contas ou a outras informações financeiras.”
Mas especialistas argumentam que a Lei Geral de Proteção de Dados (LGPD) determina que todos os dados precisam ser protegidos, sejam eles sensíveis ou comuns. Além disso, alertam que as informações, embora não coloquem diretamente os recursos financeiros dos atingidos em perigo, podem ser usadas por criminosos para golpes de engenharia social.
“As informações podem ser usadas por criminosos e fraudadores para diversas técnicas de golpe de engenharia social para ter acesso a conta do banco das pessoas afetadas”, explica Thiago Cabral, especialista em segurança digital e sócio diretor da empresa Athena Security.
Para a sócia do escritório Daniel Gerber Advogados Sofia Coelho, especialista em Direito Público, Penal e Consumidor, as informações deveriam ser estritamente sigilosas e de acesso restrito.
Bruno Guerra de Azevedo, especialista na área de Direito Digital e LGPD e coordenador do SGMP Advogados, explica que o Banco Central e as instituições financeiras envolvidas nos vazamentos, são solidariamente responsáveis pelos dados comprometidos, uma vez que são considerados controladores e operadores das informações violadas, conforme a LGPD.
Especialistas em segurança argumentam que o sistema do Pix é sólido e seguro, mas que é preciso que as instituições financeiras fortaleçam seus sistemas.
Segundo Rafael Stark, CEO e fundador da Stark Bank, fintech especializada em open banking, as instituições participantes do Pix devem possuir travas em seus sistemas para identificar quando usuários suspeitos fazem apenas a leitura das chaves sem realizar pagamento.
“Toda empresa precisa estar atenta aos melhores protocolos de segurança da informação e constantemente verificar a segurança dos seus sistemas. Vazamentos de dados podem acontecer em qualquer empresa, banco ou não, que não execute isso com regularidade. A LGPD penaliza para evitar que isso aconteça.”
A autarquia afirmou que não irá informar novos incidentes por Nota à Imprensa ou por comunicações diretas aos jornalistas. Segundo o BC, a página criada com incidentes será “mantida permanentemente atualizada”.
Matéria Completa: Estadão
