O Banco Central do Brasil (BC) já notificou o vazamento de 261.376 chaves Pix em 2024. Desde o lançamento do sistema de pagamentos instantâneos, que comemorou quatro anos no último dia 16, já foram contabilizadas 17 ocorrências do tipo, a maioria concentrada no ano corrente. Se comparado a 2023, as chaves vazadas corresponde a um aumento de 109.721%.
O incidente de segurança mais recente foi divulgado pelo BC nesta terça-feira (26). Dados cadastrais vinculados a 1.378 chaves Pix — sendo estes nome do usuário, CPF, instituição de relacionamento, agência e número da conta — de clientes da fintech Cronos foram vazados devido a “falhas pontuais em sistemas dessa instituição”, como descreve o BC.
Um único correntista da Cronos foi o responsável pelo garimpo e posterior vazamento dos dados entre os dias 5 e 8 deste mês. Em nota, a instituição afirmou que mesmo havendo um limite máximo de consultas, “tal correntista realizou as consultas no intervalo de alguns dias, em razão de falha pontual de monitoramento.”
A Cronos explicou ainda que a consulta a outros correntistas é permitida porque dentro do arranjo Pix, antes de realizar qualquer transação, é necessário consultar a chave para confirmar a titularidade. “Ocorre que este cliente, por razão ainda desconhecida, realizou um excesso de consultas e passou por uma falha de monitoramento”, justifica a empresa.
Pix: vazamento de dados no Brasil
Apesar do vazamento notificado esta semana ser o quarto menor do ano, a característica de ter sido praticado por apenas um indivíduo chama atenção. Mesmo com as “regras de proteção que a empresa tem, ele (o correntista) se utilizou de uma falha de configuração ou de uma falha na aplicação durante alguns dias para poder obter essas informações todas”, comenta Carlos Sampaio, CISO (Chief Information Security Officer) da Bidweb Security IT.
“Houve realmente vazamento de dados — e ele garimpou esses dados. O usuário banido realmente foi atrás dessas informações e descobriu uma falha. Falha esta que pode estar atribuída a qualquer sistema”, já que a fintech não especifica a informação.
Os objetivos de garimpar essas informações podem ser diversos. “Se ele pretende fazer algum ataque no futuro, vai usar aquelas informações como base ou pode simplesmente vender essas informações porque isso tem um valor”, completa Sampaio.
O crescimento dessas ocorrências pode ser atribuído ao crescimento da tecnologia. O advento da inteligência artificial e as regulamentações, como a Lei Geral de Proteção de Dados (LGPD), deixa a tecnologia mais robusta, tanto do ponto de vista legal quanto dos padrões dos sistemas.
Logo, “a única forma de ter algum lucro em relação a esses vazamentos é explorando a parte mais frágil desse relacionamento todo, que é o fator humano.”
O aumento em mais de quatro vezes da quantidade de ataques deste tipo no Brasil em 2024 é porque “quem mais não consegue se proteger, a não ser com a educação e com o treinamento, é a própria pessoa”, conclui.
Os dados vazaram. E agora?
Mas ocorrido o vazamento, como o indivíduo lesado pode se proteger? Sampaio dá uma sequência de três passos.
A primeira delas é a mais importante na visão do especialista. Se no meio das chaves vazadas existir alguma chave aleatória, basta, através do aplicativo do banco, excluir e criar outra. “É a mais chata de você ter, porque é gigante, mas é a mais segura de todas”, relembra.
Se tem alguma chave Pix for e-mail, é importante alterar a senha. Pois, por conta de “outros milhares de vazamentos, a senha do seu e-mail pode estar exposta em algum lugar na internet” e, cruzando esses dados, é possível acessar a conta.
O usuário deve também manter o controle de verificação da sua saúde financeira. “Ele consegue fazer isso a partir do site do Registrato, que é uma ferramenta do Banco Central gratuita”.
Pelo site, é possível realizar a consulta gratuita de empréstimos em seu nome, bancos onde tem conta, chaves Pix cadastradas, cheques sem fundos e dados de compra ou venda de moeda estrangeira.
O Registrato vai mostrar para o usuário qualquer relacionamento financeiro que ele tenha com qualquer entidade autorizada pelo Banco Central. O caminho é importante para verificar se há relacionamentos com entidades desconhecidas pelo indivíduo.
Por fim, é preciso ficar atento às tentativas de phishing, ataque cibernético que visa obter informações pessoais de um usuário, como senhas ou números de cartão de crédito. “Porque se eu tenho seus dados, principalmente e-mail e telefone, eu posso tentar entrar em contato com você para ver se eu consigo mais alguma coisa que permita que eu faça uma fraude em seu nome”.
Leia mais:
Pix faz quatro anos. E registrou um aumento de 61% nas operações
Mercado financeiro reduz para 4,63% expectativa de inflação para 2024
