Quando o BC (Banco Central) divulgou um vazamento de chaves Pix, em 21 de janeiro deste ano, não se tinha ideia de que o problema era tão grande quanto sabemos agora. A falha permitiu o acesso a dados de quase 161 mil clientes de cerca de 300 instituições.
A empresa responsável pelos dados é a Acesso Soluções de Pagamentos. Uma empresa que oferece serviços de cashback (serviço de devolução de dinheiro).
Invasão por criminosos
A Acesso Soluções viu a sua plataforma invadida. Na ocasião dados pessoais relacionados às chaves Pix de pessoas físicas ficaram em poder dos criminosos de várias instituições.
Os bancos tinham até quinta-feira (03/02) para avisar os clientes que tiveram seus dados roubados.
Quanto à Acesso, o Banco Central informou que a empresa pode ser multada por “falhas pontuais” por não cumprir as exigências de segurança do Pix. Entre essas exigências não cumpridas o BC afirma que a empresa não adotou mecanismos de prevenção à ataques de leitura, o que resultou no vazamento das chave Pix.
300 é o número de instituições atingidas pelo vazamento das chave Pix
Segundo apuração da UOL junto ao BC, além de clientes da Acesso, a falha atingiu pessoas físicas de outras instituições que trabalham com o Pix. São 300 empresas que tiveram os dados dos seus clientes expostos. Com esse número é muito provável que uma pessoa que tenha conta em um dos cinco maiores banco brasileiros pode ter tido seus dados vazados mesmo sem nenhuma relação com a Acesso.
Falhas da Acesso
Na época do incidente, em 21 de janeiro, o Banco Central informou que foram falhas pontuais nos sistemas da Acesso que ocasionaram o vazamento dos dados cadastrais de muitos clientes. Entre esses dados estão; nomes de usuário, CPF, instituição de relacionamento, conta e número de agência.
Contudo, são se sabia que clientes de outras instituições além da Acesso tinham sido atingidos pelo vazamento das chave Pix. Também não se sabia o número de instituições envolvidas. 40% das instituições foram atingidas. Essa porcentagem equivale a 767 instituições.
Simulação de operações com chave Pix
Segundo apurou a UOL junto à Acesso, a empresa não informou qual teria sido a falha ou vulnerabilidade que permitiu o vazamento das chaves Pix. Entretanto, profissionais de segurança digital apontam que é possível que tenham sido utilizados robôs e simulações em sequência para capturar os dados.
Qual a finalidade do golpe?
Apesar de informar que os dados expostos não permitiriam movimentação de recursos, acesso às contas ou outras informações financeiras dos clientes, é importante dizer que, de posse dos dados não sensíveis ainda são úteis aos golpistas.
De posse desses dados do vazamento das chave Pix tais como nome completo, telefone, nome da instituição, entre outros dados cadastrais, algum criminoso pode entrar em contato com os clientes para convencê-lo a fornecer suas senhas ou acompanhar uma movimentação via aplicativo com ID, por exemplo.