Na última quinta-feira (30), o Banco do Estado de Sergipe (Banese) informou que foi detectada uma brecha de segurança pela instituição e que dados cadastrais de pessoas que não são clientes do banco foram acessados. Com isso, 395.009 chaves PIX do tipo telefone foram obtidas “mediante engenharia social”, explicou a instituição.

Através de um comunicado, o Banco Central disse que não foram expostos dados sensíveis, como senhas, valores movimentados e saldos nas contas. Porém, os telefones de clientes foram capturados por pessoas de fora da instituição.

publicidade

Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil, afirmou em entrevista ao Olhar Digital que “vulnerabilidade em si, todo sistema possui, nenhum sistema é 100% seguro, inviolável”.

Para ele, o maior problema do PIX são os sequestros-relâmpago: “Acho que o sequestro relâmpago e segurança física é o principal [problema do PIX]. Parece que não existem travas para fazer transferência”.

Vale lembrar que o prazo de início das restrições para transações noturnas via PIX foi aprovado no dia 23 de setembro pelo Banco Central (BC). Agora, os bancos têm até o dia 4 de outubro para estabelecer o limite previsto de R$ 1 mil por operação, que vai valer entre 20h e 6h.

Bolso com dinheiro e celular mostrando o PIX
PIX. Créditos: Alison Nunes Calazans/Shutterstock

Confira a entrevista completa com Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil:

Olhar Digital: A primeira coisa que disseram sobre o vazamento foi sobre engenharia social. Faz parecer que algum funcionário do banco tinha acesso a essas chaves todas, de forma a passar para o invasor.

Fernando Falchi: É meio estranho. Ter tanta informação na mão assim não faz sentido mesmo. Um funcionário do banco ter isso não está casando as informações. Dentro dos bancos há áreas antifraude, então acho que nem o cara do TI teria acesso as informações dos correntistas. Não é não é trivial alguém ter acesso a tudo isso.

Um funcionário não deveria ser treinado contra engenharia social?

Se foi isso mesmo a gente tem um problema sério. Pelo que a gente vê no dia a dia das empresas, por mais que você dê treinamento de conscientização, o pessoal com más intenções às vezes consegue ser bem bem esperto. Veja o próprio phishing. Está aí há 20 anos.

O Banco Central tratou como uma coisa meio inofensiva. É mesmo?

É e não é. O CPF a gente já consegue de outras maneiras. Não acredito que isso vai fazer alguém perder dinheiro. Mas alguém teve a informação dele e divulgada ali, muitas vezes alguém que não queria. Apesar de que, se fuçar bem, já acha muita coisa. Fora a chave PIX em si, podemos dizer que tudo que vazou é de domínio público. Nome, CPF, CNPJ, e-mail. Está tudo por aí.

O pessoal do Banese disse que eles divulgaram por transparência, mas a legislação não exige divulgar um vazamento assim. Não é problemático poder ocorrer um vazamento assim?

Não deviam divulgar só vazamento do PIX, mas qualquer um. Eles deveriam ser obrigados a informar todos os correntistas que eles tiveram problema de segurança.

É um caso que deveria mudar a lei para corrigir esse tipo de coisa?

A LGPD (Lei Geral de Proteção de Dados) já tem um pouco disso, de você ter que comunicar quando você tem algum problema de segurança, informar o cliente, informar acionistas, informar para o mercado. Que você teve um problema e como você agiu, o que fez para melhorar seus sistemas. Pelo que eu sei, banco está dentro do mesmo balaio que todo mundo na LGPD. Então acho que foi somente por isso que eles acabaram publicando, não por conta de transparência.

Mesmo sendo públicos, esses dados podem ser usados para engenharia social, não? Se você sabe nome, CPF, banco, agência, pode manipular uma pessoa mais facilmente.

Sim.

Existe, afinal, alguma vulnerabilidade no PIX?

Acho que o sequestro relâmpago e segurança física é o principal, parece que não existem travas para fazer transferência. Vulnerabilidade em si, todo sistema possui, nenhum sistema é 100% seguro, inviolável, mas críticas mesmo não tenho. Pelo que a gente acompanhou na implantação de alguns bancos, foram criadas áreas dentro dos datacenters dos bancos para atender a essa demanda do PIX. Teve investimento dos bancos. Mas eu não posso falar por todos, porque eu também não acompanhei todos. Aí a gente sabe que tem um monte de banco menor que talvez não tenha feito mesmo investimento. Talvez o Banese possa até se enquadrar em um desses, mas não posso falar porque eu não conheço, não tenho contato com ninguém lá dentro.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!