Falha em empresa que opera Pix afetou 161 mil clientes, diz BC

Uma falha de segurança em uma das empresas que operam o Pix, informada pelo Banco Central (BC) em 21 de janeiro deste ano, afetou 161 mil clientes de 300 instituições. No centro do incidente, está a Acesso Soluções de Pagamento, pertencente à Méliuz, empresa especializada em serviços de cashback. 

Na ação, criminosos invadiram a plataforma da Acesso para obter dados pessoais ligados a chaves Pix de pessoas físicas com contas em bancos, instituições de pagamentos e cooperativas. A partir da Acesso, os invasores conseguiram roubar dados de clientes de centenas de instituições. Todos os bandos tinham até a última quinta-feira (3) para comunicar os clientes atingidos.

A Acesso pode ser multada pelo que o BC classificou como "falhas pontuais". De acordo com o banco, a empresa não cumpriu exigências de segurança do Pix, como a adoção de "mecanismos de prevenção a ataques de leitura''.

Ainda de acordo com o BC, foram expostas no vazamento 160.603 chaves, de 159.603 pessoas físicas. Em entrevista ao site UOL, o BC confirmou que a falha de segurança não atingiu apenas clientes da Acesso, mas também pessoas físicas com chaves em outras instituições que oferecem o Pix. A ocorrência envolveu aproximadamente 40% das instituições participantes do sistema, o que dá 300 empresas.

'Falhas pontuais' da Acesso

Em 21 de janeiro, o Banco Central informou, por meio de nota, o incidente de segurança no Pix ligado à Acesso, "em razão de falhas pontuais em sistemas dessa instituição de pagamento". Na ocasião, o BC afirmou que o vazamento estava ligado a dados cadastrais vinculados às chaves: nome do usuário, CPF, instituição de relacionamento, número da agência e conta.

Na comunicação do BC, no entanto, não ficou claro que o incidente atingiu clientes de outras instituições, e não somente os da Acesso. Além disso, naquele momento, o BC também não havia divulgado o número de instituições.