Banco Central: vazamento afeta 53 mil chaves Pix da Qesh
Qesh diz que incidente se deu em tentativa de invasão de sistema de cliente
O Banco Central divulgou nesta segunda, 30/9, um novo incidente de segurança com dados pessoais vinculados a chaves Pix, desta vez sob a guarda e a responsabilidade da Qesh Instituição de Pagamento LTDA (Qesh). Esse é o 15º incidente comunicado pelo BC desde 2021.
Segundo o BC o vazamento se deu “em razão de falhas pontuais em sistemas dessa instituição” e envolve dados cadastrais vinculados a 53.383 chaves Pix, ou seja, nome do usuário, CPF, instituição de relacionamento, agência e número da conta.
De acordo com a autoridade monetária, não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
Em nota, a Qesh reforçou que “não foram expostos dados sensíveis vinculados às chaves Pix consultadas, não ocorrendo o vazamento de saldos, movimentações financeiras e informações sigilosas das contas atingidas”.
Segundo a empresa, o vazamento “está relacionado a uma tentativa de invasão no sistema de um dos nossos clientes que utiliza nossa tecnologia” e que “a ação visava fraudar contas, mas foi bloqueada, e as tentativas resultaram em consultas repetidas de confirmação de chaves Pix, gerando um comportamento anômalo. Essas solicitações não atingiram o sistema da QESH, sendo detectadas e bloqueadas pelas nossas equipes de monitoramento”.
De acordo com a Qesh, o cliente envolvido foi comunicado e notificado e o sistema permanece bloqueado. “A Qesh reitera que o ataque se deu exclusivamente no ambiente do cliente e que todas as medidas necessárias foram tomadas, incluindo a notificação das autoridades e órgãos reguladores competentes”, completa.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagens, chamadas telefônicas, SMS ou e-mail.
O BC informa, ainda, que foram adotadas as ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente.