O Banco Central informou hoje que houve um incidente de segurança “com dados pessoais vinculados a chaves Pix” que estavam com o sistema de pagamentos “Abastece Aí”, do grupo Ultra (Abastece Aí Clube Automobilista Payment LTDA). Vinculado à Ipiranga, uma das maiores empresas brasileiras de distribuição de combustíveis e que pertence ao Grupo Ultra, o “Abastece Aí” opera por meio de um aplicativo de celular principalmente para facilitar pagamentos na rede de postos Ipiranga e lojas de conveniência AmPm, existentes nesses postos.
Segundo o comunicado do Banco Central, o vazamento envolve dados cadastrais vinculados a 137.285 chaves PIX. Esses dados são o nome do usuário, seu CPF, instituição financeira, agência, número e tipo da conta, data de criação da chave Pix.
O aplicativo é também uma plataforma para gerenciamento do programa de fidelidade Quilômetros de Vantagens, criado pela Ipiranga para seus clientes. Neste momento o aplicativo pode ser baixado mas não aceita o cadastramento de novos usuários. Uma de suas funcionalidades é justamente fazer pagamentos por meio do PIX e oferecer cash back (troco em dinheiro) aos clientes.
Veja isso
RansomEXX publica 42MB de dados atribuídos ao Grupo Ultra
Ransomware BlackCat anuncia ataque a gasoduto europeu
O vazamento é o quarto já registrado pelo Banco Central do Brasil. Os quatro vazamentos foram os seguintes:
DICT | 1º de julho a 14 de setembro de 2022 | Abastece Ai Clube Automobilista Payment Ltda (Abastece Aí) | Dados cadastrais vinculados a 137.285 chaves Pix: nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta, data de criação da chave Pix. |
DICT | 24 e 25 de janeiro de 2022 | Logbank Soluções em Pagamentos S/A (Logbank) | Dados cadastrais vinculados a 2.112 chaves Pix: nome do usuário, CPF, instituição de relacionamento e número da conta. |
DICT | 3 a 5 de dezembro de 2021 | Acesso Soluções de Pagamento S.A. (Acesso) | Dados cadastrais vinculados a 160.147 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta. |
DICT | 24 de agosto de 2021 | Banco do Estado de Sergipe S.A. (Banese) | Dados cadastrais vinculados a 414.526 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta. Informações vinculadas a chaves Pix para fins de segurança. |
Este é o comunicado do Banco Central:
“BC comunica ocorrência em instituição de pagamentoRegido pelo princípio da transparência, o Banco Central do Brasil (BC) vem a público informar a ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da Abastece Aí Clube Automobilista Payment LTDA (Abastece Aí), em razão de falhas pontuais em sistemas dessa instituição de pagamento.
Não foram expostos dados sensíveis, tais como senhas, informações de movimentações ou saldos financeiros em contas transacionais, ou quaisquer outras informações sob sigilo bancário. As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras.
As pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento. Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail.Além disso, o BC adotou as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação vigente.
Mesmo não sendo exigido pela legislação vigente, por conta do baixo impacto potencial para os usuários, o BC decidiu comunicar o evento à sociedade, à vista do compromisso com a transparência que rege sua atuação”.