O Banco Central informou nesta sexta-feira, 9, um incidente de vazamento de dados envolvendo chaves Pix de clientes sob tutela da Cashway Tecnologia. De acordo com o regulador, dados cadastrais de 50 chaves Pix estariam expostos com a falha de sistema da companhia.
Com isso, o Pix chega a um acumulado de 1 milhão de chaves vazadas desde agosto de 2021. Na época, o regulador registrou aquele que segue como o maior vazamento de todos até agora: 414,5 mil chaves Pix de correntistas do Banese.
Ao todo foram registrados 19 vazamentos nos cinco anos do popular arranjo de pagamento instantâneo.
Importante dizer, apesar de 1 milhão ser uma quantidade grande, o montante é pequeno perto das 851 milhões de chaves que o BC contabilizou no final de abril.
Falha na Cashway
O vazamento da Cashway envolve informações como: nome do usuário; CPF; instituição de relacionamento; agência; e número da conta. De acordo com o BC, essas informações não são pessoais, são apenas de “natureza cadastral” e não permitem movimentação de recursos, acesso às contas e outras informações financeiras.
A Cashway é uma empresa de Banking as a Service (BaaS) de Florianopólis que oferece seus serviços em módulos (investimento, conta, crédito, gestão e contabilidade e regulatório). Sua atuação é principalmente com startups e cooperativas financeiras, como HR Digital (um banco voltado para condomínios) e a Cooperativa de Economia e Crédito Mútuo dos Petroleiros de MG (Copetro).
Segundo o Banco Central, as pessoas afetadas pela falha serão avisadas por meio do aplicativo ou Internet banking da instituição. Mesmo sendo um número baixo de chaves Pix, o BC decidiu avisar por uma questão de transparência junto à sociedade.
Procurada por Mobile Time, a empresa respondeu que “assim que a atividade foi detectada, o ambiente de teste foi prontamente desativado e as credenciais associadas foram canceladas”. A companhia foi questionada sobre quais produtos, serviços e quais clientes foram afetados, mas não respondeu.
Chama a atenção que um dos e-mails de contato da Cashway era de seu delegado de dados (DPO). Mas este e-mail retornou como “endereço não encontrado”.
Imagem principal: A ilustração no alto foi produzida por Mobile Time com IA
