O Banco Central (BC) divulgou na última sexta-feira (22) que houve um vazamento de dados envolvendo 87.368 chaves Pix pertencentes a clientes da Sumup Sociedade de Crédito Direto S.A. (Sumup SCD). Este incidente marca o sétimo vazamento de dados desde a implementação do sistema de pagamentos instantâneos em novembro de 2020.
O BC informou que o vazamento ocorreu no período de 28 de setembro de 2023 a 16 de março de 2024. As informações expostas incluíam o nome do usuário, o Cadastro de Pessoa Física (CPF) com máscara, a instituição de relacionamento, a agência e o número da conta.
O vazamento foi atribuído a falhas pontuais nos sistemas da instituição de pagamento. O BC enfatizou que apenas dados cadastrais foram expostos, o que não afeta a movimentação de dinheiro. Informações protegidas pelo sigilo bancário, como saldos, senhas e extratos, não foram comprometidas.
Apesar do impacto potencial para os clientes ser considerado baixo, o BC optou por divulgar o incidente em um gesto de transparência. Todos os indivíduos afetados serão notificados por meio do aplicativo ou do internet banking da instituição. O BC ressaltou que esses serão os únicos canais de comunicação utilizados para informar sobre a exposição das chaves Pix e solicitou que os clientes ignorem quaisquer outras formas de comunicação, como chamadas telefônicas, SMS, notificações por aplicativos de mensagens e e-mails.
A exposição de dados não implica necessariamente que todas as informações foram vazadas, mas indica que estiveram visíveis para terceiros durante algum tempo e podem ter sido capturadas. O BC afirmou que o caso será investigado e que podem ser aplicadas sanções. A legislação prevê multa, suspensão ou até exclusão do sistema do Pix, dependendo da gravidade do caso.
Contexto
Este foi o sétimo incidente de vazamento de dados do Pix desde a criação do sistema em novembro de 2020. O vazamento mais recente ocorreu na última segunda-feira (18), quando 46 mil clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada (Fidúcia) tiveram suas informações expostas. Em todos os casos, foram vazadas informações cadastrais, sem a exposição de senhas e de saldos bancários.
Em resposta ao incidente, a SumUp emitiu um comunicado informando que foi notificada pelo Banco Central sobre o ocorrido. A empresa afirmou que tomou medidas rápidas para mitigar a situação, aumentar a proteção dos dados e reduzir as chances de futuros vazamentos.