O Banco Central (BC) e o Conselho Nacional de Justiça (CNJ) confirmaram um acesso não autorizado ao Sistema de Busca de Ativos do Poder Judiciário (SisbaJud), resultando na exposição de 46.893.242 chaves Pix pertencentes a 11.003.398 pessoas.
O incidente ocorreu entre 20 e 21 de julho e envolveu informações cadastrais que, embora não permitam movimentação financeira, aumentam o risco de tentativas de golpes e fraudes.
Escopo dos dados vazados
De acordo com comunicado atualizado do BC, foram expostos nome completo, Cadastro de Pessoas Físicas (CPF), instituição financeira, número e tipo de conta, número da agência, chave Pix, status da chave, data de criação e eventual data de exclusão.
O CNJ havia informado inicialmente que apenas nome, banco, agência, conta e chave Pix tinham sido acessados, mas a investigação posterior revelou a extensão maior dos dados comprometidos.
Natureza das informações e impacto
Os órgãos reiteraram que senhas, saldos, extratos e demais dados protegidos por sigilo bancário permaneceram seguros. As informações expostas são consideradas cadastrais e não possibilitam transações ou visualização de valores.
Mesmo assim, especialistas em segurança alertam que combinações de nome, CPF e detalhes de conta podem ser usadas para tentar fraudes de engenharia social, como contatos falsos que se passam por instituições financeiras.
Medidas adotadas após a identificação
Segundo o CNJ, o acesso indevido foi detectado rapidamente. O sistema foi retirado do ar, passou por correções de segurança e retornou ao funcionamento normal após a implementação de controles adicionais.
A Polícia Federal e a Autoridade Nacional de Proteção de Dados (ANPD) foram notificadas e acompanham o caso. O BC informa que continuará monitorando possíveis impactos e adotando providências cabíveis.
Os órgãos reforçam que o vazamento não permite qualquer movimentação de recursos e que as contas não podem ser acessadas por terceiros apenas com os dados expostos.
Orientações aos titulares das chaves
O CNJ recomenda que os usuários fiquem atentos a mensagens, chamadas ou e-mails suspeitos solicitando confirmação de dados pessoais ou códigos de segurança. A instituição destaca que não entra em contato por SMS, telefone ou correio eletrônico para tratar sobre o incidente.
Em breve, será disponibilizada no site do CNJ uma ferramenta para consulta individual, permitindo que cidadãos verifiquem se tiveram suas chaves ou informações cadastrais expostas no episódio.
Enquanto isso, especialistas sugerem a ativação de confirmações em duas etapas nos aplicativos bancários, a verificação constante dos extratos e a desconfiança de comunicações que peçam transferências urgentes ou revelação de senhas.
Contexto do SisbaJud e do Pix
O SisbaJud é uma plataforma que liga o Poder Judiciário a instituições financeiras, possibilitando o cumprimento de ordens judiciais para bloqueio de ativos ou obtenção de dados bancários. O sistema tem acesso a informações fornecidas pelos bancos, inclusive chaves Pix.
O Pix, criado pelo BC em 2020, tornou-se o meio de pagamento instantâneo mais popular do país. Segundo o banco, a infraestrutura central do serviço não foi comprometida; o vazamento decorreu de falha pontual na integração entre SisbaJud e a base de dados das chaves.
O episódio reforça a importância de camadas adicionais de segurança em sistemas que concentram grandes volumes de informações pessoais e bancárias, bem como da adoção de boas práticas de proteção de dados por parte dos usuários.
O BC e o CNJ afirmam que continuarão a cooperar com as autoridades responsáveis, mantendo a sociedade informada sobre os desdobramentos e eventuais novas etapas da investigação.
