Toen de eerste gevallen zich voordeden, werden ze als incidenteel behandeld. Maar nu, met meer dan 1 miljoen blootgestelde Pix-sleutels sinds 2021, volgens gegevens die onlangs door de Centrale Bank zijn vrijgegeven, is het correcter om ze gewoon te noemen. Het meest recente was dat van Cashway Tecnologia, dat hoewel het slechts 50 sleutels betrof, Brazilië weer deed discussiëren over de veiligheid van het instantbetalingssysteem.
Dit komt doordat in de eerste maanden van dit jaar nieuwe datalekken zijn geregistreerd, wat de bezorgdheid over de bescherming van de persoonlijke gegevens van gebruikers heeft verhoogd. Voor Cashway had het probleem zich voorgedaan bij QI Sociedade de Crédito Direto en waren 25.349 Pix-sleutels van klanten blootgesteld. Naast deze was de zaak van XP (XPBR31) die eind april aan klanten meldde dat een database die werd gehost door een externe leverancier van de financiële instelling, een "ongeautoriseerde toegang" had gehad, zeer veel aandacht. Op deze manier zijn gebruikers het slachtoffer geworden van een datalek, zoals naam, telefoonnummer, e-mail, geboortedatum, postcode, burgerlijke staat, functie en nationaliteit, evenals welke financiële producten zijn afgesloten, rekeningnummer bij XP en saldo van de vorige maand.
Volgens Thiago Guedes, CEO van DeServ, een bedrijf gespecialiseerd in informatiebeveiliging en gegevensprivacy, is het voor de bedrijven die verantwoordelijk zijn voor de bescherming van de Pix-sleutels essentieel om de hele ontwikkelingsketen van de applicaties en systemen te volgen, van de programmeer- en testfase tot wanneer ze in productie gaan, om het optreden van puntsgewijze fouten in systemen te voorkomen. Deze opvolging is juist vereist om mogelijke problemen en fouten te voorkomen voordat ze zelfs maar gebeuren.
"Op deze manier moeten alle bedrijven die omgaan met persoonsgegevens continue verbeterprocessen ontwikkelen die zowel het juridische aspect als het informatiebeveiligingsaspect omvatten. Tijdens alle fasen van gegevensverwerking is het essentieel om onmiddellijk te voldoen aan de AVG. De wetgeving zelf vereist dat er een gegevensbeschermingsimpactrapport wordt opgesteld en dat het bedrijf zich zo organiseert dat deze processen goed zijn ingericht om mogelijke risico's te kunnen beheren," zegt hij.
Wat betreft de houders van Pix-sleutels, moet men erop letten dat het niet altijd mogelijk is om te weten wanneer en of er sprake was van een datalek of niet.In dat opzicht is het altijd het beste om extra veiligheidsmaatregelen te nemen. Hoewel de gelekte gegevens geen wachtwoorden bevatten of financiële transacties mogelijk maken, kan elke blootstelling van persoonlijke informatie het gemakkelijker maken voor oplichters, vooral door middel van social engineering, waarschuwt hij.
Guedes geeft enkele tips over hoe je jezelf kunt beschermen.
Houd uw Pix-sleutels in de gaten:Volg regelmatig het gebruik van uw Pix-sleutels via de app van uw bank. Als u iets vreemds of onbekends opmerkt, neem dan onmiddellijk contact op met de financiële instelling.
Activeer waarschuwingen en meldingen:Houd de meldingen van Pix-transacties op uw telefoon ingeschakeld om snel elke niet-geautoriseerde beweging te kunnen identificeren.
Wees voorzichtig met verdachte berichten:Gerapistas gebruiken vaak gelekte gegevens om valse berichten (phishing) te versturen. Klik nooit op links ontvangen via SMS, WhatsApp of e-mail, zelfs als ze legitiem lijken.
Werk uw gegevens bij:Als u vermoedt dat uw sleutel is gecompromitteerd, kunt u bij uw bank een verzoek indienen voor de overdracht of verwijdering van de Pix-sleutel.
Gebruik meerdere authenticatiefactoren:Wanneer mogelijk, activeer twee-factor-authenticatie in financiële apps en registreer sterke en unieke wachtwoorden.
Controleer of uw gegevens zijn gelekt:De Centrale Bank biedt officiële kanalen om de gebruiker te informeren over eventuele lekken. Houd rekening met mededelingen rechtstreeks in de app van uw bank of op de website van de Centrale Bank.
Volgens de Centrale Bank omvatten de gelekte gegevens informatie zoals naam, CPF, bankrelatie, bankkantoor nummer en datum van aanmaak van de Pix-sleutel. Geen gevoelige gegevens, zoals wachtwoorden, saldi of afschriften, zijn gecompromitteerd. Toch blijft het advies om extra oplettend te zijn.
"Pix is een veilig systeem, maar geen enkele technologie is immuun voor operationele fouten. Daarom is de voorzichtigheid van de gebruiker een essentieel onderdeel van de bescherming," concludeert de specialist.
