PAGAMENTOS

BC informa quinto vazamento de chaves Pix do ano

Incidente envolveu as fintechs iugu e PagCerto; desde o lançamento do sistema, em 2020, foram 10 casos de vazamento de dados cadastrais

Segurança - Imagem: Darwin Laganzon/Pixabay
Segurança - Imagem: Darwin Laganzon/Pixabay

(Nota atualizada às 15h de 12/6 com posicionamento da iugu) O Banco Central (BC) comunicou nesta terça-feira (11) dois novos vazamentos de dados pessoais vinculados a chaves Pix. Os casos envolveram duas instituições de pagamento (IPs): a fintech iugu e a PagCerto — essa última faz parte da LWSA (antiga Locaweb). De acordo com o BC, o incidente de segurança ocorreu devido a falha pontuais em sistemas dessas instituições.

Conforme o BC, não houve exposição de dados sensíveis, por exemplo, senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. “As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, afirmou o regulador, em nota.

No caso da iugu, o vazamento atingiu dados cadastrais ligados a 19.849 chaves Pix entre 21 e 27 de maio de 2024. Já em relação à PagCerto, o incidente envolveu informações cadastrais vinculadas a 2.197 chaves Pix, no período entre 23 e 24 de abril deste ano.

Em nota enviada no dia 12/6, a iugu informa que detectou um ataque para engenharia social em seu aplicativo móvel no dia 27 de maio. De acordo com a empresa, a questão foi resolvida em menos de 24h. “Durante a ação, foram criadas 24 contas no app para consultar dados de contas bancárias via Pix. Não houve vazamento de informações sensíveis, como CPF, movimentações, saldos financeiros em contas transacionais ou quaisquer outras informações sob sigilo bancário”, afirmou a fintech.

O Finsiders Brasil também procurou a PagCerto, por meio de sua assessoria de imprensa, mas ainda não recebeu retorno. O texto será atualizado se houver resposta.

Casos crescem

Desde o lançamento do Pix, em novembro de 2020, foram 10 registros de vazamentos de chaves Pix — metade somente neste ano e os demais distribuídos entre 2021 e 2023. 

Além da iugu e da PagCerto, os incidentes atingiram usuários de outras cinco fintechs — Abastece Aí, SumUp, Acesso, Logbank e Phi Pagamentos. Completam a lista a financeira Fidúcia, o Banco do Estado do Sergipe (Banese) e o Banco do Estado do Pará (Banpará). A lista completa, com detalhes, está no site do BC.

Em meio à escalada de fraudes e golpes, principalmente de engenharia social, o BC vem reforçando as medidas de segurança relacionadas ao Pix. No ano passado, por exemplo, publicou regras que endurecem as penalidades para as instituições que descumprirem os requisitos de segurança.