Segundo o Banco Central, não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos. Contatos com clientes serão feitos exclusivamente por meio do aplicativo ou internet banking das instituições.
O Banco Central informou nesta terça-feira (11) que ocorreram “incidentes de segurança” com dados pessoais vinculados a chaves PIX de pessoas com contas nas instituições de pagamento “Iugu” e “Pagcerto” em razão de “falhas pontuais em sistemas”.
Esses foram o nono e o décimo vazamento de dados de clientes por instituições financeiras e de pagamentos do PIX — sistema em tempo real desenvolvido pelo Banco Central e está em funcionamento desde novembro de 2020.
“Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, informou o BC, por meio de comunicado.
O g1 enviou um e-mail para Iugu, que confirmou o vazamento, atribuindo o caso a um ataque no aplicativo (leia nota completa abaixo). A reportagem também tentou contato com a Pagcerto, sem sucesso.
Segundo o Banco Central, as pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas por meio do aplicativo, ou pelo internet banking de sua instituição de relacionamento.
“Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, acrescentou o Banco Central.
A instituição informou, ainda, que foram adotadas “ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente”.
O Banco Central esclareceu que, no caso da Iugu, houve vazamento de dados cadastrais vinculados a 19.849 chaves PIX: nome do usuário, CPF com máscara, instituição de relacionamento, agência, número e tipo de conta, entre 21 e 27 de maio deste ano.
Já no caso da Pagcerto, foram vazados dados cadastrais vinculados a 2.197 chaves PIX: nome completo, CPF com máscara, instituição de relacionamento, número da agência, número e tipo da conta, entre 23 e 24 de abril deste ano.
Nota da Iugu
“A iugu, plataforma de serviços financeiros para gestão de caixa e automatização de meios de pagamento, esclarece que foi detectado um ataque para engenharia social em seu aplicativo móvel no dia 27 de maio, questão que foi resolvida em menos de 24 horas.Durante a ação, foram criadas 24 contas no app para consultar dados de contas bancárias via Pix. Não houve vazamento de informações sensíveis, como CPF, movimentações, saldos financeiros em contas transacionais ou quaisquer outras informações sob sigilo bancário.A iugu reforça seu compromisso com a segurança e privacidade de dados dos usuários como prioridade em todas as operações. Atualmente, é uma das maiores empresas do setor, responsável por 10% das transações via Pix no Brasil, e continuamente direciona esforços para ofertar um ambiente seguro e confiável.”
Portal G1