BC comunica vazamento de mais de 137 mil chaves Pix de clientes do Abastece Aí, do Ipiranga

Problema foi ocasionado por falhas pontuais nos sistemas da instituição de pagamento

Giovanna Sutto

(Reprodução/Abastece Aí)
(Reprodução/Abastece Aí)

O Banco Central informou, nesta sexta-feira (16), um vazamento de dados cadastrais de clientes vinculados a 137.285 chaves Pix do Abastece Aí, conta digital do grupo Ipiranga, que oferece cashback em abastecimentos nos postos da marca, e conta com outros parceiros como Wine, Nethoes e Movida, entre outras empresas.

Sem detalhar a ocorrência, o BC disse apenas que o vazamento aconteceu devido a falhas pontuais nos sistemas da instituição de pagamento.

“Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, ressaltou, por nota, a autoridade monetária.

Os dados cadastrais vazados incluem o nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta e a data de criação da chave Pix.

Em nota, enviada às 18h50 desta sexta, a assessoria do Abastece-aí informou que  já bloqueou as atividades suspeitas.

“Conforme informado pelo Banco Central, não foram expostas senhas, informações de movimentações, saldos financeiros ou quaisquer outras informações sob sigilo bancário. Potenciais informações indevidamente acessadas do Pix são dados cadastrais, não permitindo movimentação de recursos, nem acesso às contas ou a outras informações financeiras. A empresa reforça que todas as medidas cabíveis a essa investigação já estão sendo tomadas”, diz a empresa.

O BC reforçou que “aplicará as medidas sancionadoras previstas na regulação vigente.”

Esta é a quarta ocorrência de vazamento de dados relacionada ao Pix: no primeiro, anunciado em setembro de 2021, envolveu o Banco de Sergipe e mais de 414 mil chaves Pix vazadas; no segundo, no início de janeiro, a instituição Acesso Soluções de Pagamento teve dados vinculados a 160 mil chaves vazados. Depois em fevereiro, 2,1 mil chaves Pix foram vazadas pela instituição financeira Logbank.

Veja as principais infos sobre os vazamentos até agora:

Período do incidente Instituição envolvida no incidente Natureza dos dados potencialmente expostos
​24 e 25 de janeiro de 2022 ​Logbank Soluções em Pagamentos S/A (Logbank) ​Dados cadastrais vinculados a 2.112 chaves Pix: nome do usuário, CPF, instituição de relacionamento e número da conta.
3 a 5 de dezembro de 2021 (informado em janeiro) Acesso Soluções de Pagamento S.A. (Acesso) Dados cadastrais vinculados a 160.147 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta.
24 de agosto de 2021 (informado em setembro) Banco do Estado de Sergipe S.A. (Banese) Dados cadastrais vinculados a 414.526 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta. Informações vinculadas a chaves Pix para fins de segurança.
1º de julho a 14 de setembro de 2022 ​​Abastece Ai Clube Automobilista Payment Ltda (Abastece Aí) ​Dados cadastrais vinculados a 137.285 chaves Pix: nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta, data de criação da chave Pix.

O que diz a Abastece Aí?

Em nota, a Abastece Aí afirmou que “em razão do incidente de segurança, do qual foi vítima, já bloqueou as atividades suspeitas”.  A empresa ressaltou que não foram expostas senhas, informações de movimentações, saldos financeiros ou quaisquer outras informações sob sigilo bancário.

“Potenciais informações indevidamente acessadas do PIX são dados cadastrais, não permitindo movimentação de recursos, nem acesso às contas ou a outras informações financeiras. A empresa reforça que todas as medidas cabíveis a essa investigação já estão sendo tomadas”, diz a nota.

Popularidade do Pix preocupa?

O Pix vem ganhando cada vez mais escala no país: até agosto deste ano, são mais de 478 milhões de chaves Pix registradas e mais de 131 milhões de usuários (incluindo pessoas físicas e jurídicas). Em relação a transações são 2,2 bilhões já feitas desde que o Pix começou em novembro de 2020 e que somam pouco mais de R$ 985 milhões.

“Não é um problema do sistema Pix, e sim um problema em uma das pontas participantes. Mas é uma falha de segurança, que expõe dados dos usuários, o que pode gerar preocupação para os clientes”, explica Rogerio Melfi, representante da ABFintechs.

Para Melfi não há risco imediato aos clientes se um dado cadastral vazar. Isso porque as chaves Pix funcionam como uma identificação do usuário dentro do sistema, que permite que o mesmo somente receba valores. Na prática, segundo o especialista, a posse dessas informações não permite que um fraudador faça uma compra, transferência ou acesse o saldo da conta da vítima.

No entanto, há outros riscos, especialmente em relação à engenharia social, um dos principais mecanismos utilizados em golpes relacionados ao Pix.

O método consiste em persuadir o usuário a compartilhar dados pessoais e informações bancárias. Assim, as informações vazadas podem ser utilizadas em tentativas de golpes.

“Com dados como esses em mãos, os criminosos podem tentar aplicar os golpes de engenharia social, podem mandar um e-mail para a vítima pedindo a troca da senha da conta, por exemplo, porque aconteceu o vazamento. E a pessoa cai. Esse é o risco: abre margem para várias tentativas de outros golpes”, avalia Rogerio Melfi, da ABFintechs.

Como se proteger?

Segundo a nota enviada pelo BC, quem teve seus dados cadastrais obtidos a partir do incidente será notificado exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento.

“Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail.”, explicou o órgão.

Todas as instituições que operam e oferecem o Pix a clientes são fiscalizadas pelo Banco Central e precisam seguir regras específicas. Para evitar problemas, a dica é: cadastre chaves aleatórias que tenham menos informações pessoais possíveis.

Veja dicas compiladas pelo InfoMoney sobre o assunto:

O Registrato do BC é uma ferramenta disponibilizada pelo Banco Central que pode ajudar os consumidores a monitorarem seus cadastros, e quem tem acesso aos seus dados. É um serviço gratuito mantido há anos pelo BC em que o consumidor precisa se cadastrar e, a partir do seu internet banking, gerar uma chave de acesso. Com ela em mãos, basta entrar a página do BC para ativar o acesso ao Registrato.

O recurso disponibiliza relatórios mensais que mostram todas as contas e cartões abertos no seu nome em bancos, corretoras, cooperativas, além de todo crédito concedido em seu nome, toda as suas chaves Pix e a quais instituições elas estão atreladas, e também informações de câmbio, como as transferências feitas em moedas estrangeira usando seus dados.

A funcionalidade “Valores a Receber” de alguma instituição financeira, por exemplo, consta no Registrato.

(Com informações da Agência Brasil)

Giovanna Sutto

Responsável pelas estratégias de distribuição de conteúdo no site. Jornalista com 7 anos de experiência em diversas coberturas como finanças pessoais, meios de pagamentos, economia e carreira.