O Banco Central do Brasil (BC) alertou na segunda-feira (30) sobre um vazamento de dados cadastrais envolvendo 53.383 chaves Pix vinculadas à “Qesh Instituição de Pagamento”. O incidente, que ocorreu entre os dias 10 e 19 de setembro deste ano, levantou preocupações sobre a segurança das informações pessoais dos usuários.
De acordo com o comunicado do Banco Central, os dados expostos incluem informações como nome, CPF, dados bancários, agência e número da conta.
Apesar da gravidade do vazamento, a boa notícia é que não houve exposição de dados sensíveis, como senhas ou informações de movimentação financeira.
A Qesh Technology, responsável pela gestão das chaves Pix, confirmou o incidente e afirmou que já tomou medidas para bloquear atividades fraudulentas. A empresa afirmou que, além de ter identificado o problema rapidamente, seu sistema de segurança impediu acessos indevidos às contas e tentativas de saques não autorizados.
Em sua nota, o BC enfatizou que, embora os dados vazados possam ser preocupantes, eles não são suficientes para permitir transações ou acessos a contas bancárias. A instituição também alertou os usuários de que receberão notificações por meio do aplicativo ou internet banking da fintech.
A Qesh especificou que não usará métodos de comunicação como mensagens de texto, chamadas telefônicas ou e-mails para informar os clientes sobre o incidente.
Diante da situação, o BC orienta quem perceber alguma irregularidade nas contas a entrar em contato com a ouvidoria da Qesh, utilizando o e-mail ouvidoria@qesh.ai.
Confira na íntegra a nota do BC:
Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da Qesh Instituição de Pagamento LTDA (Qesh), em razão de falhas pontuais em sistemas dessa instituição.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo.
Veja também o comunicado oficial da Qesh sobre o caso:
A QESH INSTITUIÇÃO DE PAGAMENTO LTDA informa que não houve qualquer comprometimento de dados de seus clientes e usuários do Sistema de Pagamentos Brasileiro (SPB) em relação às recentes alegações de vazamento de dados de 53.383 chaves Pix, fazendo-se necessário esclarecer o que segue:
- Não foram expostos dados sensíveis vinculados às chaves Pix consultadas, não ocorrendo o vazamento de saldos, movimentações financeiras e informações sigilosas das contas atingidas.
- É importante destacar que o sistema de segurança da QESH conta com múltiplas camadas de proteção e é monitorado continuamente, sendo aprimorado regularmente para garantir a preservação dos ativos e informações de nossos clientes e de usuários do SPB.
- O ocorrido está relacionado a uma tentativa de invasão no sistema de um dos nossos clientes que utiliza nossa tecnologia. A ação visava fraudar contas, mas foi bloqueada, e as tentativas resultaram em consultas repetidas de confirmação de chaves Pix, gerando um comportamento anômalo. Essas solicitações não atingiram o sistema da QESH, sendo detectadas e bloqueadas pelas nossas equipes de monitoramento.
- O cliente envolvido foi comunicado e notificado e seu sistema permanece bloqueado.
- A QESH reitera que o ataque se deu exclusivamente no ambiente do cliente e que todas as medidas necessárias foram tomadas, incluindo a notificação das autoridades e órgãos reguladores competentes.