Uma falha de segurança em sistemas da Pefisa S.A. – Crédito, Financiamento e Investimento, vertente financeira do grupo Pernambucanas, provocou um grave vazamento de dados de clientes. De acordo com o Banco Central, 28 mil chaves Pix foram expostas após a ocorrência.
Descoberta e escopo do incidente
O incidente, que aconteceu entre agosto de 2025 e fevereiro de 2026, afetou informações voltadas a dados cadastrais vinculados às chaves comprometidas. Isso inclui nome do usuário, CPF, instituição financeira, número da agência, número e tipo de conta, e data da criação da chave e da abertura da conta.
Apesar do susto, o BC garantiu que o ataque não impactou dados sensíveis, como senhas, informações sobre transações financeiras e saldos, porque as informações comprometidas não permitem o acesso direto às contas dos clientes. Não há informações detalhadas sobre como o vazamento de informações ocorreu por enquanto.
Impacto e alcance no Brasil
O vazamento afeta diretamente clientes brasileiros que utilizam o sistema Pix, uma das principais ferramentas de pagamento instantâneo do país. A exposição de dados cadastrais, embora não permita acesso direto às contas, pode ser utilizada para engenharia social ou tentativas de fraude direcionada.
O Banco Central monitora a situação e garante que o ataque não impactou dados sensíveis. A instituição vai enviar uma notificação por meio do aplicativo para aqueles que tiveram dados de suas chaves Pix expostas.
Contenção de danos e recomendações
A principal recomendação do Banco Central para os usuários que tiveram seus dados comprometidos durante o ataque contra a Pefisa é que fiquem atentos aos canais oficiais de comunicação de seus bancos, além de desconsiderar tentativas de contato que peçam informações pessoais ou financeiras, como senhas e número do cartão.
Vale mencionar ainda que a instituição vai enviar uma notificação por meio do aplicativo para aqueles que tiveram dados de suas chaves Pix expostas. Caso o usuário receba comunicações em outros canais, como apps de mensagens, chamadas telefônicas, SMS ou e-mail, a recomendação é desconsiderar, pois essa prática não é adotada pela empresa.
O BC afirmou também que o caso está sendo investigado e que medidas foram tomadas para mitigar prejuízos.
Implicações regulatórias e LGPD
O vazamento de dados cadastrais de 28 mil clientes levanta questões sobre a conformidade com a Lei Geral de Proteção de Dados (LGPD). Embora o BC tenha garantido que não houve acesso a dados sensíveis, a exposição de CPF e dados bancários exige notificação aos titulares e às autoridades competentes.
A Pefisa, como controladora dos dados, deve demonstrar as medidas de segurança implementadas para evitar futuros incidentes. A transparência com os clientes é fundamental para manter a confiança no sistema financeiro nacional.
Análise técnica do vazamento
Embora não haja detalhes técnicos sobre a exploração, a natureza do vazamento sugere uma falha em sistemas de cadastro ou integração de dados. A exposição de chaves Pix indica que os dados de identificação foram acessados sem criptografia adequada ou com permissões excessivas.
Segurança da informação exige que dados sensíveis sejam protegidos em repouso e em trânsito. A falta de informações detalhadas sobre a causa raiz impede uma análise forense completa no momento.
O que os CISOs devem fazer imediatamente
Organizações financeiras devem revisar seus controles de acesso a dados cadastrais. A implementação de monitoramento contínuo de acessos não autorizados e a revisão de políticas de retenção de dados são essenciais.
Clientes devem monitorar suas contas e relatar qualquer atividade suspeita imediatamente. A verificação de canais oficiais de comunicação é a primeira linha de defesa contra fraudes pós-vazamento.
Perguntas frequentes
Meus dados bancários foram roubados? Não, senhas e saldos não foram afetados. O que devo fazer? Fique atento a comunicações suspeitas e verifique sempre os canais oficiais do banco.