O Banco do Estado do Sergipe (Banese) soltou comunicado ao mercado para informar sobre a ocorrência de vazamento de dados de chaves Pix. Segundo a instituição financeira, a área técnica detectou “consultas indevidas” a dados relacionados a 395.009 chaves Pix. Ainda de acordo com o banco, as chaves eram “exclusivamente” do tipo telefone, de não-clientes do Banese, “provavelmente obtido mediante engenharia social (phishing ou similar)”. A prática conhecida como “phishing” é uma ação fraudulenta para tentar adquirir ilicitamente dados pessoais de outra pessoa.

O vazamento de dados foi informado pelo Banco Central um pouco mais cedo. No comunicado, o BC destaca que a ocorrência se deu em razão de “falhas pontuais em sistemas” da instituição financeira, mas destaca que não foram expostos dados sensíveis, como senhas ou informações de movimentações financeiras.

O Banese também informa que o evento “não afetou a confidencialidade de senhas, histórico de transações ou demais informações financeiras de seus clientes”.

Segundo o comunicado do banco, as consultas foram realizadas no Diretório de Identificadores de Contas Transacionais – DICT, administrado pelo BC e de acesso restrito às instituições que iniciam o procedimento para realização de uma transação por Pix, e contém informações de natureza cadastral: nome, CPF, banco em que a chave está registrada, agência, conta e outros dados técnicos utilizados para fins de controle antifraude, tais como a data de abertura da conta e data de registro da chave.

O banco informou o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD), que, juntamente com o BC, está trabalhando na apuração e comunicação dos fatos. “De forma tempestiva foram adotadas ações de contenção e medidas técnicas, como a revogação do acesso às 02 (duas) contas utilizadas e a implementação de mecanismos de segurança visando evitar que casos semelhantes voltem a ocorrer”, diz o comunicado do Banese.