Súlyos adatvédelmi incidenst jelentett a Brazil Központi Bank (Banco Central – BC) a Pix fizetési rendszerével kapcsolatban, miután közel 47 millió nyilvántartáshoz fértek hozzá jogosulatlanul. A hibát az Országos Igazságszolgáltatási Tanács (CNJ) által üzemeltetett rendszerben észlelték.
Mi történt pontosan?
A CNJ által működtetett Sisbajud (Sistema de Busca de Ativos do Poder Judiciário), vagyis az igazságszolgáltatás vagyonkutató rendszere a bíróságok számára biztosít hozzáférést pénzügyi információkhoz, például a végrehajtásokhoz. Ezúttal azonban a rendszeren keresztül illetéktelenek fértek hozzá 46.893.242 darab Pix-kulcshoz kapcsolódó nyilvántartáshoz.
A hatóságok szerint az incidens július 20-án és 21-én történt. Bár a CNJ első közlése szerint „csak” 11 millió személyt érintett a szivárgás, fontos kiemelni, hogy egy személy akár több Pix-kulccsal is rendelkezhet – ezért a tényleges nyilvántartási szám közel 47 millióra rúg.
Milyen adatok kerültek ki?
A Brazil Központi Bank gyorsan reagált, és nyilvánosságra hozta: kizárólag nyilvántartási típusú adatok kerültek illetéktelen kezekbe, vagyis nevek, Pix-kulcsok, számlavezető bankok nevei, bankfiókok száma, és számlaszámok.
A hatóság hangsúlyozta: semmilyen érzékeny pénzügyi adat (pl. jelszavak, tranzakciók, számlaegyenlegek) nem szivárgott ki, és a kiszivárgott információk önmagukban nem teszik lehetővé bankszámlákhoz való hozzáférést.
Miért aggasztó mégis?
Bár az adatok nem adnak közvetlen hozzáférést a bankszámlákhoz, a CNJ kiemelte, hogy a nyilvántartási adatszivárgás is komoly kockázatot jelenthet, különösen, ha azokkal visszaélnek például célzott adathalász támadásokban (phishing).
A tanács ezért figyelmeztet: a CNJ nem hívja fel az érintetteket, és nem küld sem SMS-t, sem e-mailt nekik. Vagyis ha valaki ilyen formában kapna üzenetet a történtekkel kapcsolatban, nagy valószínűséggel csalásról van szó.
A hatóságok reagáltak
A CNJ azonnal értesítette a Szövetségi Rendőrséget és a Nemzeti Adatvédelmi Hatóságot (ANPD), valamint saját közlése szerint megtette az összes szükséges biztonsági intézkedést. A Brazil Központi Bank emellett közölte:
„Bár a törvény nem írja elő az ilyen esetek kötelező bejelentését – tekintettel a felhasználókra gyakorolt alacsony kockázatra –, a BC a transzparencia melletti elköteleződése okán döntött a nyilvánosság tájékoztatása mellett.”
A CNJ ígérete szerint külön online felületet is biztosít az érintett állampolgárok számára, amelyen lekérdezhető lesz, hogy ki szerepelt az érintettek között. Ennek részletei a hivatalos honlapon jelennek majd meg.
Mit tanulhatunk az esetből?
Ez az eset már a 21. olyan incidens, amelyet a Brazil Központi Bank a Pix rendszer adatbiztonságával kapcsolatban rögzített – és egyben a legsúlyosabb. Ez az adatszivárgás rávilágít arra, hogy még a modern, államilag működtetett rendszerek is sebezhetők lehetnek. Bár a mostani incidens nem járt közvetlen anyagi kárral, a bizalom megingása, valamint a növekvő adathalász veszélyek miatt érdemes különösen óvatosnak lenni minden olyan esetben, amikor valaki banki vagy személyes adatokat kér tőlünk – még akkor is, ha az üzenet „hivatalosnak” tűnik.
A legfontosabb tanács: ne adjunk ki információt SMS-ben, e-mailben vagy telefonon – még akkor sem, ha a megkeresés hivatalosnak tűnik.
(Forrás: CNN Brasil)
(Címlapkép: Depositphotos)
