O Banco Central (BC) informou nesta quinta-feira (19) ocorrência de incidente de segurança com dados pessoais vinculados a chaves Pix sob a guarda e a responsabilidade da SHPP Brasil, a instituição de pagamento da Shopee no mercado nacional, “em razão de falhas pontuais em sistemas dessa instituição”.
O incidente de segurança ocorreu entre os dias 2 e 4 de setembro deste ano e envolveu 150 chaves Pix, de acordo com o informado pela autoridade monetária.
Segundo o BC, dados sensíveis, como senhas, informações de movimentações, saldos financeiros ou informações sob sigilo bancário não foram expostos. “As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, diz em nota a autarquia.
Procurada pelo Valor Investe, a Shopee informou, por meio de nota, ter detectado “uma tentativa indevida para obter informações de chaves Pix por meio de um recurso em nossa plataforma, que permitia que os usuários da ShopeePay visualizassem as informações dos destinatários de suas transferências.”
No comunicado, a empresa complementa que, em reação ao episódio, suas “equipes implementaram medidas de segurança adicionais para esse recurso assim que tomamos conhecimento do incidente. Durante esse período, nenhum dado sensível, como senhas, informações de transações ou saldos financeiros, foi exposto. No entanto, recomendamos que os usuários permaneçam vigilantes contra possíveis tentativas de phishing.”
Além de aconselhar usuários a alterarem suas senhas regularmente, a companhia orientou aqueles que buscam mais assistência a entrarem em contato com a Shopee pelo e-mail dpo.br@shopee.com
Ainda em relação ao episódio, o BC reforçou que foram adotadas as “ações necessárias para a apuração detalhada do caso e serão aplicadas as medidas sancionadoras previstas na regulação vigente”.
O BC ainda destaca que as pessoas que tiveram seus dados cadastrais obtidos a partir do incidente serão notificadas exclusivamente por meio do aplicativo ou pelo internet banking de sua instituição de relacionamento.
“Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, destaca a autarquia em nota.
Conforme os dados da autarquia, contando este episódio, 14 episódios de vazamentos de chaves já foram registrados desde que o sistema de pagamentos instantâneo passou a funcionar.
Registro de incidentes com dados pessoais
| Banco de dados | Período do incidente | Instituição envolvida no incidente | Natureza dos dados potencialmente expostos |
| DICT | 2 a 4 de setembro de 2024 | Shpp Brasil Instituição de Pagamentos e Serviços de Pagamentos LTDA. (Shopee) | Dados cadastrais vinculados a 150 chaves Pix: nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta. |
| DICT | 23 de julho a 5 de agosto de 2024 | Banco BTG Pactual S.A. (BTG Pactual) | Dados cadastrais vinculados a 8.032 chaves Pix: nome do usuário, CPF com máscara, instituição de relacionamento, agência, número e tipo da conta. |
| DICT | 5 a 8 de julho de 2024 | Confederação Nacional das Cooperativas Centrais Unicred LTDA. – Unicred do Brasil (Unicred) | Dados cadastrais vinculados a 174 chaves Pix: nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta. |
| DICT | 26 de junho a 2 de julho de 2024 | 99Pay Instituição de Pagamento S.A. (99Pay) | Dados cadastrais vinculados a 39.088 chaves Pix: nome do usuário, CPF com máscara, instituição de relacionamento, agência e número da conta. |
| DICT | 21 a 27 de maio de 2024 | IUGU Instituição de Pagamento S.A. (Iugu) | Dados cadastrais vinculados a 19.849 chaves Pix: nome do usuário, CPF com máscara, instituição de relacionamento, agência, número e tipo da conta. |
| DICT | 23 a 24 de abril de 2024 | Pagcerto Instituição de Pagamento LTDA. (Pagcerto) | Dados cadastrais vinculados a 2.197 chaves Pix: nome do usuário, CPF com máscara, instituição de relacionamento, agência, número e tipo da conta. |
| DICT | 20 de março a 13 de abril de 2024 | Banco do Estado do Pará S.A. (Banpará) | Dados cadastrais vinculados a 3.020 chaves Pix: nome do usuário, CPF com máscara, instituição de relacionamento, agência e número da conta. |
| DICT | 28 de setembro de 2023 a 16 de março de 2024 | Sumup Sociedade de Crédito Direto S.A. (Sumup SCD) | Dados cadastrais vinculados a 87.368 chaves Pix: nome do usuário, CPF com máscara, instituição de relacionamento, agência e número da conta. |
| DICT | 1º de janeiro a 22 de fevereiro de 2024 | Fidúcia Sociedade de Crédito ao Microempreendedor e à Empresa de Pequeno Porte Limitada (Fidúcia) | Dados cadastrais vinculados a 46.093 chaves Pix: nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta |
| DICT | 14 e 15 de agosto de 2023 | Phi Serviços de Pagamentos S.A. (Phi Pagamentos) | Dados cadastrais vinculados a 238 chaves Pix: nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta. |
| DICT | 1º de julho a 14 de setembro de 2022 | Abastece Ai Clube Automobilista Payment Ltda (Abastece Aí) | Dados cadastrais vinculados a 137.285 chaves Pix: nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta, data de criação da chave Pix. |
| DICT | 24 e 25 de janeiro de 2022 | Logbank Soluções em Pagamentos S/A (Logbank) | Dados cadastrais vinculados a 2.112 chaves Pix: nome do usuário, CPF, instituição de relacionamento e número da conta. |
| DICT | 3 a 5 de dezembro de 2021 | Acesso Soluções de Pagamento S.A. (Acesso) | Dados cadastrais vinculados a 160.147 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta. |
| DICT | 24 de agosto de 2021 | Banco do Estado de Sergipe S.A. (Banese) | Dados cadastrais vinculados a 414.526 chaves Pix: nome do usuário, CPF, instituição de relacionamento, número da agência e da conta. Informações vinculadas a chaves Pix para fins de segurança. |
Fonte: Banco Central
Posicionamento da Shopee na íntegra
A Shopee está comprometida com a segurança e a privacidade dos dados dos usuários. Recentemente, detectamos uma tentativa indevida para obter informações de chaves PIX por meio de um recurso em nossa plataforma, que permitia que os usuários da ShopeePay visualizassem as informações dos destinatários de suas transferências.
Nossas equipes implementaram medidas de segurança adicionais para esse recurso assim que tomamos conhecimento do incidente. Durante esse período, nenhum dado sensível, como senhas, informações de transações ou saldos financeiros, foi exposto. No entanto, recomendamos que os usuários permaneçam vigilantes contra possíveis tentativas de phishing.
Também aconselhamos nossos usuários a alterar suas senhas regularmente e a não usar dados facilmente identificáveis, como endereço ou data de nascimento. Para obter mais assistência, os usuários podem entrar em contato conosco pelo email dpo.br@shopee.com.
