Falhas no sistema da 99Pay causam vazamento de chaves Pix

📈 O Banco Central (BC) divulgou nesta quarta-feira (10) um novo incidente de segurança envolvendo dados pessoais associados a chaves Pix sob a custódia da 99Pay Instituição de Pagamento S.A. 

De acordo com o BC, a falha decorreu de problemas pontuais nos sistemas da instituição.

Embora o BC não tenha especificado o número de pessoas afetadas, a autarquia destacou que o impacto potencial para os usuários é considerado baixo.

Além disso, o BC ressaltou que os dados expostos não incluem informações sensíveis como senhas, movimentações financeiras ou saldos em contas.

As informações obtidas são de natureza cadastral, o que não permite a movimentação de recursos ou acesso a contas bancárias.

Os usuários cujos dados foram comprometidos serão notificados exclusivamente através do aplicativo ou internet banking da instituição financeira com a qual mantêm relacionamento.

O BC e as instituições financeiras participantes não utilizarão outros meios de comunicação como mensagens instantâneas, telefonemas, SMS ou e-mails para contatar os afetados.

A 99Pay ainda não se manifestou sobre o incidente.

Histórico de Vazamentos do Pix em 2024

Este é o sexto incidente de vazamento de dados do Pix registrado em 2024. Desde a implementação do sistema, diversos episódios similares ocorreram:

• Agosto de 2021: Vazamento de 414,5 mil chaves Pix do Banco do Estado de Sergipe (Banese).
• Janeiro de 2022: 160,1 mil clientes da Acesso Soluções de Pagamento tiveram dados expostos.
• Fevereiro de 2022: 2,1 mil clientes da Logbank Pagamentos também foram afetados.
• Setembro de 2022: Dados de 137,3 mil chaves Pix da Abastece Aí vazaram.
• Setembro de 2023: Exposição de 238 chaves Pix da Phi Pagamentos.

Mais recentemente, em março de 2024, ocorreram dois incidentes significativos:

• 46.093 chaves Pix de clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada tiveram dados cadastrais vazados.
• Vazamento de dados de 87.368 chaves Pix sob responsabilidade da Sumup Sociedade de Crédito Direto.

📊 Em junho de 2024, o BC notificou o vazamento de dados pessoais associados a 22.046 chaves Pix das empresas de pagamento Iugu e Pagcerto.

Em todos os casos, apenas informações cadastrais foram expostas, sem comprometimento de senhas ou saldos bancários.

Conforme a Lei Geral de Proteção de Dados (LGPD), o BC mantém uma página onde cidadãos podem acompanhar incidentes relacionados ao Pix e a outros dados pessoais sob sua custódia.

A exposição dos dados significa que informações ficaram acessíveis a terceiros por um período e podem ter sido capturadas.

O BC já iniciou a investigação do incidente mais recente e aplicará as sanções previstas pela legislação vigente.

Dependendo da gravidade, as penalidades podem incluir multas, suspensão ou até exclusão do sistema do Pix.