O Banco Cnetral (BC) comunicou, nesta última sexta-feira (22/03), que ocorreu um novo vazamento de dados de chaves Pix de clientes da Sumup Sociedade de Crédito Direto S.A. (Sumup SCD). Este é o sétimo incidente do tipo desde o lançamento do sistema instantâneo de pagamentos, em novembro de 2020. Ao todo, 87.368 dados de clientes foram expostos.
Segundo o BC, o vazamento ocorreu no período entre 28 de setembro de 2023 e 16 de março de 2024 e incluiu informações como nome do usuário, Cadastro de Pessoa Física (CPF) com máscara, instituição de relacionamento, agência e número da conta. As falhas pontuais nos sistemas da instituição de pagamento foram apontadas como a causa do vazamento, conforme destacado pelo BC. No entanto, ressaltou-se que as informações expostas se limitam aos dados cadastrais, não afetando a movimentação financeira dos clientes. Informações protegidas pelo sigilo bancário, como saldos, senhas e extratos, não foram comprometidas.
Apesar do impacto considerado baixo para os clientes, o BC optou por comunicar o incidente em nome da transparência. Todos os clientes afetados serão notificados por meio do aplicativo ou internet banking da instituição. O BC alertou que esses serão os únicos canais de comunicação utilizados e pediu que os clientes ignorem outros tipos de aviso, como chamadas telefônicas, SMS e mensagens por aplicativos de mensagens e e-mail.
A exposição dos dados não implica necessariamente que todas as informações tenham sido acessadas, mas sim que estavam visíveis para terceiros durante certo período, podendo ter sido capturadas. O BC anunciou que o caso será investigado e que medidas punitivas poderão ser aplicadas, incluindo multa, suspensão ou exclusão do sistema do Pix, dependendo da gravidade.
Além desse, o mais recente vazamento ocorreu na última segunda-feira (18), quando 46 mil clientes da Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada (Fidúcia) tiveram suas informações vazadas. Em todos os casos anteriores, as informações comprometidas foram de natureza cadastral, sem exposição de senhas ou saldos bancários.
A Sumup, em comunicado, informou ter sido notificada do incidente pelo Banco Central e agiu imediatamente para mitigar a situação, reforçando a proteção dos dados e reduzindo as chances de ocorrências semelhantes no futuro.
