O Banco do Estado de Sergipe (Banese) informou nesta última quinta-feira (30) que uma brecha de segurança foi detectada pela instituição e que dados cadastrais de pessoas que não são clientes do banco foram acessados indevidamente. Em comunicado, o Banco Central (BC) informou que não foram expostos dados sensíveis, como senhas, valores movimentados e saldos nas contas. Os telefones de clientes, no entanto, foram capturados por pessoas de fora da instituição.
Segundo informou o Banese, 395.009 chaves Pix, exclusivamente do tipo telefone, foram obtidas “mediante engenharia social”, explica a instituição. Apesar de informar que a atividade maliciosa não compromete senhas, extratos, históricos e informações financeiras, o banco relata que o sistema ao qual os invasores tiveram acesso, chamado Diretório de Identificadores de Contas Transacionais (DICT), também guarda dados como nome, CPF, banco em que a chave está registrada, agência, conta, data da abertura da conta e data de registro da chave Pix.
Segundo o BC, as informações obtidas não permitem movimentação de recursos nem acesso às contas ou a outras informações financeiras. As pessoas com dados vazados serão notificadas exclusivamente por meio do aplicativo da instituição financeira, sem avisos por chamadas telefônicas, aplicativos de mensagem, SMS ou e-mail.
De acordo com o comunicado do BC, o vazamento decorreu de “falhas pontuais” nos sistemas do Banese. O órgão informou ter adotado as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação.
A autoridade monetária esclareceu que a divulgação do vazamento de dados cadastrais do Pix não é exigida pela legislação, porque tem pouco impacto para os usuários. Mesmo assim, decidiu comunicar o incidente por ter compromisso com a transparência.