Atualizado em 01/10/2024 por Ana Luiza
Em um comunicado divulgado na segunda-feira (30), o Banco Central revelou um incidente envolvendo a exposição de 53.383 chaves Pix vinculadas à Qesh Instituição de Pagamento LTDA. Segundo o BC, o vazamento ocorreu entre os dias 10 e 19 de setembro, devido a falhas pontuais nos sistemas da instituição. O episódio levanta questões sobre a segurança de dados no sistema financeiro brasileiro e reacende o debate sobre a proteção de informações pessoais em plataformas digitais.
Falhas no sistema e dados expostos
O vazamento envolveu informações cadastrais, como nome do usuário, CPF, instituição de relacionamento, agência e número da conta. Embora não tenham sido divulgados dados sensíveis, como senhas ou movimentações financeiras, a exposição de informações pessoais ainda preocupa especialistas em segurança digital. O Banco Central esclareceu que as informações vazadas não permitem movimentação de recursos ou acesso a contas bancárias.
Segundo a Qesh, o incidente foi causado por uma tentativa de invasão nos sistemas de um de seus clientes, que utiliza sua tecnologia para gerenciar operações financeiras. Em nota ao portal Exame, a empresa afirmou que a invasão foi bloqueada, mas resultou em um comportamento anômalo no sistema. A tentativa de fraude envolveu consultas repetidas de confirmação de chaves Pix, gerando o vazamento.
Notificação aos usuários
As pessoas afetadas serão notificadas diretamente pelos canais oficiais de suas instituições de relacionamento, como aplicativos bancários ou internet banking. O Banco Central e as instituições financeiras envolvidas enfatizaram que não utilizarão outros meios de comunicação, como SMS, chamadas telefônicas ou e-mails, para notificar os usuários afetados. Esse cuidado visa evitar possíveis tentativas de golpe, aproveitando-se da situação.
Esse não é o primeiro caso de vazamento de dados no sistema de pagamentos instantâneos do Banco Central. Desde o lançamento do Pix, em 2020, outras instituições financeiras também enfrentaram problemas semelhantes, o que levanta preocupações sobre a capacidade das instituições em proteger adequadamente as informações dos clientes.
A vulnerabilidade no sistema financeiro digital
O crescimento da digitalização de serviços financeiros, impulsionado pela popularização do Pix, trouxe uma nova era de conveniência para os usuários. No entanto, o aumento das transações online também ampliou a superfície de ataque para criminosos digitais. Segundo especialistas, a rapidez e o volume das operações eletrônicas são fatores que podem contribuir para falhas de segurança, especialmente em instituições de menor porte, como a Qesh.
Apesar de o Banco Central garantir que as informações expostas não permitem transações financeiras, a exposição de dados pessoais pode facilitar a aplicação de golpes. Criminosos podem utilizar informações como nome e CPF para realizar fraudes em outros contextos, como a abertura de contas em nome das vítimas ou a realização de compras fraudulentas.
Medidas de segurança adotadas
Após a identificação do vazamento, a Qesh informou que tomou medidas para reforçar a segurança de seus sistemas e prevenir incidentes futuros. A empresa, que se define como uma “coretech” voltada para o fornecimento de infraestrutura digital para médias e grandes empresas, reconheceu que o incidente expôs vulnerabilidades em seus mecanismos de defesa.
A instituição trabalha com tecnologias voltadas para pagamentos, liquidação de transações, motores de crédito e emissão de cartões, entre outros serviços. O vazamento colocou em evidência a necessidade de as empresas que atuam no setor financeiro digital revisarem constantemente suas práticas de segurança cibernética, especialmente em um contexto em que os ataques estão se tornando mais sofisticados.
O Banco Central também anunciou que continuará monitorando as instituições financeiras e aprimorando seus mecanismos de regulação e fiscalização para garantir a segurança dos sistemas de pagamento no país. No entanto, especialistas alertam que a responsabilidade de manter a segurança dos dados também recai sobre as próprias instituições de pagamento, que precisam investir em tecnologia de ponta para detectar e mitigar ataques cibernéticos em tempo real.
O histórico de vazamentos no Pix
O Pix, desde sua criação, tem sido alvo de tentativas de fraude, algumas bem-sucedidas. Apesar da robustez da infraestrutura do Banco Central, as instituições participantes ainda enfrentam desafios para garantir a segurança das transações. A popularização do sistema trouxe uma série de benefícios, como a possibilidade de transferências instantâneas e gratuitas, mas também expôs fragilidades em termos de proteção de dados.
Em outros casos de vazamento, como o ocorrido com a Acesso Soluções de Pagamento em 2021, mais de 160 mil chaves Pix foram expostas. Na época, o Banco Central garantiu que as informações vazadas não incluíam dados bancários sensíveis, mas o incidente gerou preocupação entre os usuários do sistema. O episódio recente com a Qesh reforça a necessidade de maior vigilância e protocolos de segurança mais rigorosos.
O futuro da segurança digital no Brasil
A proteção de dados no Brasil ganhou mais relevância com a promulgação da Lei Geral de Proteção de Dados (LGPD), que regula o uso de informações pessoais e impõe multas severas para o descumprimento das normas de segurança. Instituições financeiras como a Qesh devem seguir as diretrizes da LGPD para garantir que as informações dos clientes estejam protegidas contra invasões e vazamentos.
No entanto, o episódio envolvendo a Qesh levanta dúvidas sobre a capacidade das empresas de pequeno e médio porte de se adequarem às exigências da lei. Além disso, a agilidade com que as transações via Pix ocorrem pode dificultar a identificação de ataques em tempo real, aumentando a vulnerabilidade das instituições.
Especialistas sugerem que o Banco Central adote novas medidas, como auditorias regulares e testes de penetração em sistemas financeiros, para garantir que as falhas sejam detectadas antes que ocorram novos vazamentos. Além disso, o incentivo ao uso de tecnologias mais avançadas de criptografia e autenticação multifator pode contribuir para aumentar a segurança do sistema.