O Banco Central (BC) informou na segunda-feira (30) sobre o vazamento de dados cadastrais relacionados a 53.383 chaves Pix da Qesh Instituição de Pagamento, ocorrido entre 10 e 19 de setembro deste ano.
De acordo com o BC, nenhum dado sensível, como senhas, movimentações financeiras, saldos em contas ou outras informações protegidas por sigilo bancário, foi comprometido.
"As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras", acrescentou a instituição monetária.
Em comunicado, o BC informou que as pessoas cujos dados cadastrais foram expostos no incidente serão notificadas exclusivamente por meio do aplicativo ou internet banking da instituição financeira com a qual têm relacionamento.
"Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail", explicou na nota.
A instituição monetária também comunicou que as providências necessárias para uma investigação detalhada do caso foram adotadas e que serão aplicadas as sanções previstas na regulamentação vigente.
Em nota, a Qesh declarou que "não houve exposição de dados sensíveis relacionados às chaves Pix consultadas, não ocorrendo vazamento de saldos, movimentações financeiras ou informações sigilosas das contas afetadas".
A empresa acrescentou que o incidente "está relacionado a uma tentativa de invasão no sistema de um de nossos clientes que utiliza nossa tecnologia" e que "o ataque ocorreu exclusivamente no ambiente do cliente, sendo todas as medidas cabíveis já tomadas".
Nota do Banco Central
Regido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da Qesh Instituição de Pagamento LTDA (Qesh), em razão de falhas pontuais em sistemas dessa instituição.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação.
Ainda regido pelo princípio da transparência, o BC mantém página específica em seu sítio para registrar incidentes de segurança desse tipo.
