O Banco Central (BC) revelou nesta terça-feira (26) que ocorreu um vazamento de dados de 1.378 clientes da fintech Cronos Instituição de Pagamento. Este incidente, que aconteceu entre os dias 5 e 8 de novembro, incluiu o vazamento de dados cadastrais como nome, F, instituição financeira, agência e número de conta.
Este é o 17º incidente envolvendo dados do Pix, o sistema de pagamentos instantâneos lançado em novembro de 2020, e o 12º registrado apenas neste ano. De acordo com o BC, o incidente resultou de falhas específicas nos sistemas da instituição de pagamento. Importante destacar que o vazamento foi limitado a informações cadastrais, não afetando a segurança das movimentações financeiras dos clientes, uma vez que dados protegidos por sigilo bancário, como saldos, senhas e extratos, não foram comprometidos.
Notificação para envolvidos
A despeito de não ser obrigatório reportar o incidente devido ao seu baixo impacto potencial, o Banco Central optou por informar o público em um gesto de transparência. As pessoas afetadas serão notificadas por meio do aplicativo ou do internet banking da instituição, e o BC alerta que todas as outras formas de comunicação, incluindo telefonemas e mensagens de texto ou por aplicativos, devem ser desconsideradas.
O vazamento não significa que todas as informações foram necessariamente adas, mas que estavam disponíveis para serem visualizadas por terceiros. Segundo o BC, o caso seguirá sob investigação e poderá resultar em sanções como multas ou até mesmo a exclusão da instituição do sistema do Pix, a depender da gravidade da falha.
Todos os incidentes registrados até agora relacionados a chaves Pix dizem respeito a exposições de dados cadastrais, sem envolver informações mais sensíveis. A autoridade monetária mantém um registro de incidentes com chaves Pix e outros dados pessoais em conformidade com a Lei Geral de Proteção de Dados.
A fintech Cronos atribuiu o vazamento à ação de um único cliente, que explorou falhas de monitoramento para ar os dados. Esse cliente foi identificado, notificado e teve sua conta encerrada, com a instituição reafirmando que nenhum dado protegido por sigilo foi ado.
