Vazamento de 11 milhões de chaves PIX: O que sabemos e como se proteger
Em 24 de julho de 2025, o Banco Central do Brasil (BC) e o Conselho Nacional de Justiça (CNJ) confirmaram um vazamento de dados envolvendo aproximadamente 11 milhões de chaves PIX, marcando o maior incidente desse tipo na história do sistema de pagamentos instantâneos brasileiro. Este artigo explora os detalhes do incidente, suas implicações para a segurança cibernética e medidas práticas que você pode tomar para proteger seus dados.
O que aconteceu?
De acordo com informações divulgadas, o vazamento está relacionado a um sistema utilizado pelo judiciário para emitir bloqueios judiciais de contas e buscar informações financeiras. As chaves PIX expostas incluem dados cadastrais, como nomes, CPFs, números de telefone ou outros identificadores usados como chaves, mas não envolvem informações sensíveis como senhas, saldos ou extratos bancários. O Banco Central enfatizou que os dados vazados não permitem acesso direto às contas dos usuários, mas alertou que a exposição pode facilitar tentativas de golpes, como phishing ou engenharia social.
Embora os detalhes técnicos do vazamento ainda não sejam totalmente claros, a origem parece estar ligada a uma falha no sistema gerenciado pelo CNJ, que interage com a infraestrutura do PIX. Diferentemente de incidentes anteriores, como os vazamentos de 395 mil chaves em 2021 e 2,1 mil chaves em 2022, este caso é significativamente maior em escala, levantando preocupações sobre a robustez dos sistemas que integram o PIX.
Contexto do PIX e sua relevância
Lançado em novembro de 2020 pelo Banco Central, o PIX revolucionou os pagamentos no Brasil, tornando-se o método de pagamento preferido por 76,4% da população e processando bilhões de transações mensais. Ele permite transferências instantâneas 24/7, usando chaves como CPFs, e-mails ou números de telefone, eliminando a necessidade de compartilhar dados bancários completos. No entanto, a popularidade do sistema também o torna um alvo atraente para cibercriminosos, como demonstrado por incidentes anteriores envolvendo instituições como Banese, Acesso Soluções de Pagamento e Logbank.
O recente vazamento de 11 milhões de chaves reforça a necessidade de avaliar continuamente os pontos de vulnerabilidade na infraestrutura do PIX, especialmente em sistemas de terceiros que se conectam ao Banco Central.
Implicações do vazamento
Embora o Banco Central tenha afirmado que os dados expostos não são suficientes para acessar contas diretamente, a exposição de informações cadastrais pode ser explorada em ataques de engenharia social. Criminosos podem usar os dados vazados para criar mensagens de phishing convincentes, enviadas por SMS, e-mail ou aplicativos de mensagens, induzindo vítimas a compartilhar senhas ou clicar em links maliciosos. Além disso, o incidente levanta questões sobre a segurança dos sistemas judiciais que acessam informações financeiras, especialmente quando usados para bloqueios de contas, que já são alvo de críticas por possíveis abusos.
Comparado a incidentes anteriores, como o ataque à C&M Software em julho de 2025, que resultou no roubo de R$800 milhões (cerca de US$140 milhões) de contas de reserva de instituições financeiras, este vazamento não envolve perdas financeiras diretas para os usuários. No entanto, a escala de 11 milhões de chaves expostas é sem precedentes e pode abalar a confiança no PIX, um sistema que se tornou essencial para a economia digital brasileira.
Como se proteger
Dada a possibilidade de golpes decorrentes desse vazamento, aqui estão algumas medidas práticas para proteger seus dados e finanças:
- Desconfie de comunicações suspeitas: O Banco Central alertou que não entra em contato com usuários por telefone, SMS, e-mail ou aplicativos de mensagens para tratar de questões relacionadas ao PIX. Descarte qualquer mensagem que solicite senhas, códigos de verificação ou cliques em links.
- Monitore suas chaves PIX: Acesse o aplicativo ou site do seu banco para verificar suas chaves PIX registradas. Considere desativar chaves desnecessárias (como números de telefone antigos) para reduzir o risco de exposição.
- Ative a autenticação de dois fatores (2FA): Sempre que possível, habilite a autenticação de dois fatores no aplicativo do seu banco e em serviços associados, como e-mails usados como chaves PIX.
- Atualize senhas regularmente: Use senhas fortes e exclusivas para suas contas bancárias e evite reutilizá-las em outros serviços.
- Fique atento a transações incomuns: Verifique regularmente o extrato da sua conta e configure alertas de transações no aplicativo do banco para detectar atividades suspeitas rapidamente.
- Eduque-se contra phishing: Evite compartilhar informações pessoais em resposta a mensagens não solicitadas. Se receber um contato suspeito, reporte ao seu banco imediatamente.
O que esperar do futuro?
O Banco Central e a Autoridade Nacional de Proteção de Dados (ANPD) já estão investigando o incidente, e é provável que novas medidas de segurança sejam implementadas. Incidentes anteriores levaram a ações como o “Bloqueio Cautelar”, que permite às instituições bloquear transações suspeitas por até 72 horas para análise de fraude. Além disso, o BC tem reforçado a fiscalização de provedores de serviços que se conectam ao PIX, como visto no caso da C&M Software, onde operações foram suspensas temporariamente após um ataque.
Este vazamento também destaca a importância de avaliar a segurança de sistemas de terceiros que interagem com a infraestrutura do PIX. Como apontado por especialistas, vulnerabilidades em provedores de serviços podem ser o “elo fraco” em um sistema financeiro altamente interconectado. A crescente conversão de fundos roubados em criptomoedas, como observado em ataques anteriores, também reforça a necessidade de regulamentações mais rigorosas para plataformas de criptoativos.
Conclusão
O vazamento de 11 milhões de chaves PIX é um lembrete de que, apesar dos avanços na segurança cibernética, nenhum sistema é infalível. Embora o Banco Central tenha garantido que os dados expostos não permitem acesso direto às contas, o risco de golpes baseados em engenharia social é real. Proteger-se exige vigilância, boas práticas de segurança e atenção a comunicações suspeitas. À medida que as investigações avançam, espera-se que o Banco Central e o CNJ forneçam mais detalhes sobre a causa do vazamento e as medidas para prevenir incidentes futuros.
