Banco Central relata primeiro vazamento de chaves Pix no ano
Mais de 25 mil chaves Pix foram comprometidas devido a falha nos sistemas da empresa QI SCD. Entenda o que aconteceu e como proteger sua empresa e seus funcionários de vazamentos de dados.
No dia 17 de março de 2025, o Banco Central do Brasil (BC) comunicou oficialmente um vazamento de dados envolvendo a QI Sociedade de Crédito Direto (QI SCD). O incidente comprometeu informações vinculadas a 25.324 chaves Pix, expondo dados sensíveis de clientes, como CPF, nome completo, instituição financeira de relacionamento, número da agência e conta bancária.
De acordo com o Banco Central, o vazamento ocorreu entre os dias 23 de fevereiro e 6 de março de 2025, sendo resultado de uma falha nos sistemas da QI SCD. A fintech, que opera no setor de crédito digital, é participante direta do ecossistema Pix e, como tal, deve seguir rígidos protocolos de segurança determinados pelo BC.
Contudo, vulnerabilidades nos seus sistemas permitiram que terceiros tivessem acesso não autorizado às informações cadastrais de milhares de usuários. A exposição de dados pessoais, especialmente em sistemas financeiros, representa um risco significativo para os usuários, podendo levar a fraudes e outros crimes cibernéticos.
Embora o Banco Central tenha garantido que as informações vazadas não incluem senhas, saldos ou movimentações financeiras, especialistas alertam que os dados expostos podem ser utilizados para fraudes e golpes de engenharia social. Criminosos podem se passar por instituições bancárias para tentar obter informações adicionais e até mesmo aplicar golpes como o de falsa central de atendimento.
Além disto, o incidente levanta preocupações sobre ataques direcionados, em que fraudadores podem cruzar os dados vazados com outras informações públicas ou de vazamentos anteriores, aumentando as chances de sucesso de golpes.
Diante do vazamento, é recomendado as seguintes medidas para mitigar riscos:
- Atenção a contatos suspeitos: caso receba ligações, e-mails ou mensagens solicitando informações bancárias, verifique diretamente com o banco antes de fornecer qualquer dado.
- Verificação das transações bancárias: fique atento a movimentações incomuns em sua conta e, caso perceba algo suspeito, entre em contato imediatamente com a instituição financeira.
- Ativação de autenticação em dois fatores: sempre que possível, habilite essa camada extra de segurança para evitar acessos não autorizados.
- Cautela com links e aplicativos: evite clicar em links desconhecidos enviados por e-mail ou mensagens e baixe aplicativos bancários apenas das lojas oficiais.
Após a detecção do incidente, a QI SCD informou ao Banco Central e iniciou medidas de contenção, incluindo auditoria interna para identificar e corrigir as falhas que permitiram o acesso não autorizado. O Banco Central, por sua vez, reforçou que a fintech poderá enfrentar sanções administrativas, conforme previsto no regulamento do Sistema Financeiro Nacional.
A autoridade monetária ainda ressaltou que o Pix segue seguro e que incidentes como este não comprometem a estrutura do sistema de pagamentos instantâneos, mas que exigem das instituições participantes um rigor maior na proteção dos dados dos clientes.
Este é o 19º incidente de vazamento de dados relacionados ao Pix desde sua implementação em 2020. O aumento no número de ocorrências reforça a necessidade de investimentos contínuos em segurança da informação e aprimoramento dos protocolos de proteção de dados.
As empresas devem priorizar a implementação de medidas robustas de segurança e promover a educação contínua de seus clientes sobre práticas seguras no ambiente digital.
Enquanto a investigação do incidente segue em andamento, especialistas alertam para a crescente sofisticação das ameaças cibernéticas e a necessidade de um esforço conjunto entre reguladores, empresas e usuários para garantir a proteção dos dados e a segurança do sistema financeiro digital.
Casos como o da QI SCD demonstram que qualquer organização que lide com dados sensíveis precisa investir em segurança digital de forma proativa. A contratação de consultorias especializadas em segurança da informação e privacidade torna-se essencial para evitar falhas de compliance, vazamentos de dados e possíveis sanções regulatórias.
Empresas especializadas em cibersegurança podem auxiliar na implementação de políticas robustas de proteção de dados, auditorias constantes para detectar vulnerabilidades e treinamentos para equipes internas. Além disso, consultorias podem apoiar organizações na adequação à Lei Geral de Proteção de Dados (LGPD) e às normas do Banco Central, garantindo que as melhores práticas sejam seguidas.
A exposição de dados pode ter impactos financeiros e reputacionais severos, tornando indispensável o apoio de profissionais capacitados para mitigar riscos e criar um ambiente digital mais seguro para empresas e usuários.