O Banco Central informou nesta sexta-feira que falhas pontuais nos sistemas da Acesso Soluções de Pagamento S.A. expôs dados cadastrais vinculados a 160.147 chaves Pix sob a guarda e responsabilidade da instituição. Assim, potencialmente o vazamento afeta clientes de todos os bancos do país que realizaram operações financeiras com contas vinculadas à Acesso.
A institiuição financeira é uma das empresas que intermedia saques e depósitos da Binance no Brasil, através de uma parceria com o banco digital Capitual. De acordo com informações disponíveis no site da exchange, a Acesso atende os clientes da Binance que possuem contas no Bradesco, Banco do Brasil, Itaú, BS2 e PagSeguro.
A Binance não se manifestou sobre o vazamento. A assessoria do Banco Capitual, da qual a Acesso é parceira, posicionou-se acerca do ocorrido através de uma nota ofical enviada ao Cointelegraph Brasil garantindo que nenhum cliente do Capitual ou da Binance foi afetado pelo vazamento:
"A Acesso, parceira bancária do Capitual, oferece estrutura bancária para vários bancos digitais, fintechs e instituições de pagamentos no Brasil, na modalidade "banking as a service". O incidente ocorreu na estrutura de uma dessas empresas, e não afetou a estrutura do Capitual. Nenhum dado de clientes do Capitual ou da Binance integra o vazamento. A Acesso já realizou as mudanças necessárias para evitar que novos vazamentos ocorram a partir da estrutura de seus parceiros. Além disso, o Capitual mantém em sua rotina o constante trabalho em prol da segurança de seus sistemas e dos dados pessoais de seus usuários, com testes de segurança ("pentests") contínuo e com a implementação da LGPD e GDPR, em prol de um ambiente seguro onde usuários possam transacionar com privacidade."
A nota acrescenta ainda que embora os clientes do Capitual não tenham sido expostos no vazamento, o Capitual e a Acesso colocam-se à disposição para esclarecimentos a respeito do fato aos clientes que assim desejarem, bem como de oferecer orientação sobre as medidas de segurança aplicadas para prevenção deste tipo de incidente.
O vazamento
De acordo com o comunicado do BC, não foram expostos dados sensíveis dos clientes, "tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário."
Teriam sido expostos informações de natureza exclusivamente cadastral: os nomes dos correntistas, seus CPF, insitituições de relacionamento, e número de agência e conta. Tais informações não permitem que terceiros possam ter acesso às contas ou movimentar fundos nelas depositados, afirma o Banco Central.
No entanto, poderiam ser utilizadas em outras atividades maliciosas, como por exemplo para aplicação de golpes de engenharia social. Valendo-se dos dados cadastrais da vítima, um criminoso poderia tentar obter as credenciais do usuários necessárias para ter acesso integral à conta e realizar operações financeiras. como, por exemplo, o golpista tentar persuadir a vítima de que é um funcionário do banco para tentar obter as credenciais de senha do usuário.
O vazamento ocorreu entre 3 e 5 de dezembro do ano passado e o total de chaves expostas foi de 160.147, o que corresponde a 159.603 pessoas físicas. Isso ocorre porque pode haver mais de uma chave Pix vinculada a cada conta.
Segundo a nota, as vítimas dos vazamentos serão comunicadas "exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento." O comunicado do Banco Central recomenda ainda que os titulares das contas que tiveram suas informações vazadas devem redobrar os cuidados com segurança.
Este é o segundo vazamento de dados cadastrais de usuários do Pix relatado pelo Banco Central em menos de um ano. Em setembro do ano passado foram expostos dados vinculados a aproximadamente 400 mil chaves Pix de clientes de instituições bancárias que realizaram operações financeiras com clientes do Banese (Banco do Estado de Sergipe), conforme noticiou o Cointelegraph Brasil na ocasião.
LEIA MAIS