Pix sofre o maior ataque depois de Trump: 11 milhões de chaves são acessadas por 'hackers' no CNJ

No momento em que o Pix, sistema de pagamentos instantâneo criado pelo Banco Central em fins de 2020, sofre ameaças do presidente dos Estados Unidos, Donald Trump, o BC informou nessa quarta (23) à noite (20h42), o maior “incidente de segurança” da história do Pix.

Houve acessos indevidos de “hackers” ao Sisbajud (Sistema de Busca de Ativos do Poder Judiciário) operado pelo Conselho Nacional de Justiça (CNJ) que deixaram expostos, entre sábado (19 de julho) e segunda-feira (21 de julho), dados de quase 46,9 milhões de usuários, segundo o BC, ou 11 milhões de chaves Pix, segundo o CNJ. Mas as contas não foram movimentadas, garante o Banco Central.

Em junho, 'hackers' roubaram R$ 1 bilhão

O maior ataque anterior da história do Pix tinha ocorrido no final do mês passado, quando um funcionário da C&M, empresa que conecta bancos e fintechs ao sistema PIX do Banco Central (BC), cedeu sua senha a “hackers” que conseguiram fazer o maior roubo cibernético em cinco anos de vigência do Pix, lesando de R$ 800 milhões a R$ 1 bilhão as “fintechs” e pequenos bancos que usavam a C&M para acesso ao Pix.

O recorde anterior de vazamento de chaves tinha ocorrido em 24 de agosto de 2021. Na ocasião, dados cadastrais de 414 mil clientes do Banco do Estado de Sergipe (Banese) foram acessados. Segundo a nota do BC, os dados cadastrais acessados eram vinculados a 46.893.242 chaves Pix: nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta, chave Pix, situação da chave Pix, data de criação da chave Pix e data de exclusão da chave Pix, foram acessados no ataque.

No entanto, “não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, garante o BC.

O Banco Central informa que “foram adotadas as ações necessárias para a apuração detalhada do caso”. Na nota, o BC acrescenta que “mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação. Instituições não bancárias são os maiores alvos.

Instituições de pagamento vulneráveis

Na página de registro de ocorrências no Pix do Banco Central – na qual não constam o caso da C&M nem ocorrências com o Nubank e a XP (que fizeram comunicados públicos sobre incidentes) - é possível verificar que excluídas cinco instituições bancárias (Caixa Econômica Federal, Banese, Banpará, BTG-Pactual e o próprio Banco Central, que teve vazado os dados de um grupo restrito de 150 voluntários que fizeram parte de um estudo-teste do Pix).

A imensa maioria dos casos envolve instituições de pagamento ou pequenas financeiras. Em comum o fato de que, sendo de pequeno porte, precisam recorrer a serviços terceirizados de tecnologia da informação. Os grandes bancos, há muito, desenvolveram sistemas próprios antifraudes, até mesmo para evitar, como no passado, que gerentes fizessem negócios à margem dos controles.