Instituições que tiveram dados do Pix vazados terão punições
O Banco Central estuda impor punições a instituições que tiveram ou venham a ter dados do Pix vazados. Desde que a inovação foi lançada em novembro de 2020, três instituições tiveram vazamentos. De acordo com o próprio BC, em 3 de fevereiro, vazaram dados cadastrais vinculados a 2.112 chaves Pix da LogBank. Em dezembro, haviam vazado dados de 160.147 chaves da Acesso Pagamentos. E em agosto do ano passado, no primeiro incidente do tipo, foram 414.526 chaves do Banco do Estado de Sergipe, Banese.
O BC informa que nos incidentes ocorridos, as instituições não implementaram todas as medidas de segurança previstas no Regulamento do Pix, apresentando vulnerabilidades que foram exploradas por terceiro não autorizado. Entre as punições previstas na Lei 13.506, de 13 de novembro de 2017, estão a aplicação multas e inabilitação do administrador para exercer cargo e a instituição está sujeita à aplicação de multa por descumprir os dispositivos do Regulamento do Pix, conforme previsto na Resolução BCB nº 177, de 22 de dezembro de 2021.
“O Banco Central apura detalhadamente cada caso e aplicará as medidas sancionadoras previstas nas normas vigentes. Vale ressaltar que não foi explorada nenhuma vulnerabilidade em qualquer sistema do BC. Em todos os casos, quem acessou o DICT foi o próprio participante. O desconhecido não autorizado jamais teve acesso direto aos sistemas do BC”, diz a autoridade monetária em nota ao DMI.
A instituição destaca ainda que esse tipo de incidente tem baixo impacto potencial para os usuários, as informações não são sensíveis ou sigilosas e parte delas são usualmente informadas ao se fazer uma TED ou DOC, estão impressas nos cheques e podem constar nos comprovantes das transações. “As informações são de natureza cadastral, não permitindo a movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, ressalta a nota.
Desde que começou a funcionar, em 16 de novembro de 2020, até 31 de dezembro de 2021, o Pix atingiu 9,5 bilhão de operações que somaram R$ 5,3 trilhões em transações. As principais empresas de segurança e o próprio BC destacam que os sistemas operados pela autoridade monetária não apresentaram falhas, tendo os incidentes ocorridos por vulnerabilidades das instituições participantes.
Com isso, o BC implementou medidas adicionais de verificação de aderência ao regulamento. A instituição informa que vem aperfeiçoando o processo de monitoramento, criando rotinas adicionais para dar maior tempestividade na identificação de casos com suspeita de incidente, bem como implementou restrições, mitigando a quantidade de chaves potencialmente expostas em caso de incidente.
Pontas vulneráveis
Fernando de Falchi, gerente de engenharia de segurança da Check Point, destaca que a infraestrutura do BC é segura, mas há vulnerabilidades nas pontas. Ele observa que os microbancos têm sua infraestrutura na nuvem e nem sempre os investimentos em segurança neste ambiente são feitos na mesma velocidade do desenvolvimento da empresa, que cresce muito rápido.
“Eles já começam e nascem na nuvem e nem sempre com segurança. Os provedores de nuvem ainda não têm a segurança dos ambientes físicos. Essas instituições que ficam nas pontas precisam correr atrás para se ajustarem e terem o mesmo nível de segurança do BC, onde fica a infraestrutura do Pix”, diz Falchi.
Transparência será fundamental
O Banco Central também decidiu que os próximos incidentes serão informados em uma área específica do site, e não mais divulgados como material de imprensa. Para os especialistas em segurança, é melhor do que não divulgar, mas a publicidade dada até aqui era extremamente importante.
“Com a transparência que o BC tem adotado, essas brechas vão sendo corrigidas para que esse tipo de incidente ocorra cada vez menos e que as instituições envolvidas tenham punições. Por outro lado, quando se divulga abertamente, isso acaba gerando pânico na população e os maiores interessados são os clientes que tiveram seus dados divulgados”, diz Fabio Assolini, analista sênior de segurança da Kaspersky.
Ele explica que, com um simples número de telefone o golpista pode invadir toda a vida online do usuário, consegue ativar o seu número em outro chip, fazer o resete de suas contas e passar a receber seus SMS. “O BC deve continuar divulgando, o canal não importa”, defende Assolini.
Ele não acredita que os últimos vazamentos comprometam a credibilidade do Pix. Para ele os incidentes recentes já eram esperados e são normais num arranjo de pagamentos gigantesco como o Pix. Foram 900 instituições cadastradas e o sistema foi ao ar com 700 instituições.
“Ainda é seguro usar o Pix, uma ferramenta moderna de transferência de valores. É natural que haja instituições de todo tipo e perfil, as mais bem preparadas para lidar com ataques cibernéticos e as menos preparadas. É importante que o BC tenha sido tão transparente em tornar os incidentes públicos, para que as pessoas saibam o que ocorreu com seus dados”, analisa Assolin.
Mas ele considera que se o BC não definir punições às instituições, isso pode colocar o sistema em risco. Nos vazamentos, a falha explorada é conhecida como ataque de enumeração. A instituição participante do Pix tem de ter controles internos para impedir abusos ou excesso de pesquisas de chave Pix por minuto.
“Toda comunicação do PIX é via API e abuso de API é algo que está na moda, especialmente em 2022, em que todas as operações financeiras estão na nuvem. É importante manter o monitoramento do uso dessa API evitando má configurações do ambiente”, ensina Assolini.
Por: Carmen Nery