Um vazamento de dados envolvendo 1.378 chaves Pix de clientes da Cronos Instituição de Pagamento foi confirmado pelo Banco Central (BC), ontem, terça-feira (26). O episódio, ocorrido entre os dias 5 e 8 de novembro de 2024, é o 17º incidente desse tipo desde a implementação do sistema de pagamentos instantâneos no Brasil, em 2020, e o 12º registrado apenas em 2024.
De acordo com o BC, as informações expostas incluem nome do usuário, CPF, instituição bancária de relacionamento, agência e número da conta. Apesar do incidente, dados protegidos pelo sigilo bancário, como senhas, saldos e extratos, não foram comprometidos.
A origem do problema foi atribuída a falhas nos sistemas da Cronos, que permitiram o acesso indevido às informações cadastrais. O Banco Central reforçou que a exposição de dados não impacta diretamente a movimentação financeira dos clientes, mas destacou que a divulgação do caso faz parte de seu compromisso com a transparência.
Aviso aos clientes e medidas de segurança
Os clientes afetados serão informados exclusivamente pelos canais oficiais da Cronos, como aplicativos e internet banking. O BC orienta que mensagens por telefone, e-mail ou aplicativos de terceiros sejam ignoradas, pois não serão utilizadas para esse fim.
Embora a exposição de dados não implique necessariamente em uso indevido, o BC alerta que as informações podem ter sido consultadas e capturadas por terceiros. A instituição afirmou que investigará o ocorrido e poderá aplicar sanções, que vão desde multas até a exclusão da fintech do sistema Pix, conforme a gravidade da falha.
Histórico de incidentes com chaves Pix
Desde o lançamento do Pix, o Banco Central tem monitorado de perto os incidentes de segurança envolvendo o sistema. Todos os 17 vazamentos registrados até o momento se limitaram a dados cadastrais, sem comprometimento de informações bancárias mais sensíveis.
Em cumprimento à Lei Geral de Proteção de Dados (LGPD), o BC mantém uma página pública para acompanhamento de incidentes relacionados a dados pessoais e chaves Pix.
A Cronos, por sua vez, informou que o vazamento foi causado por um cliente que explorou vulnerabilidades nos sistemas de monitoramento. A conta do responsável foi encerrada, e a fintech reiterou que senhas ou dados financeiros mais sensíveis não foram acessados.
O caso reacende a discussão sobre segurança digital e privacidade no ambiente financeiro, especialmente em um cenário de crescente digitalização.
