O Nubank estaria expondo CPFs de pessoas que possuem contas em outros bancos através de uma falha de segurança. Pessoas que já tenham transferido ou recebido dinheiro pelo PIX de quem possui conta no "roxinho" podem ter sido afetados. O problema foi exposto em uma reportagem divulgada pelo The Intercept nesta quarta-feira (24).
De acordo com o veículo, os dados das pessoas estão sendo exibidos dentro do próprio aplicativo do banco. Ao abrir uma janela de transferência do PIX é possível ter acesso a uma lista com todos os contatos que já te pagaram ou receberam um por aquela conta. Clicando-se em um dos nomes, são mostradas todas as contas bancárias da pessoa e, inclusive, o CPF.
A falha de privacidade é curiosa por um detalhe: só é possível verificar o cadastro de pessoa física de quem possui contas em outros bancos. Caso o usuário acesse em um contato que tem uma NuConta (nome da conta digital da fintech), o dado aparece borrado.
A exposição contraria, por exemplo, um documento de segurança emitido pelo Banco Central (BC). O órgão, que desenvolveu a tecnologia do PIX e pontua que as instituições financeiras devem mascarar o CPF dos usuários recebedores de uma transação.
“A seleção da chave deve retornar os dados do usuário recebedor para conferência: nome completo, CPF mascarado (ex: ***.777.888-**)/CNPJ, além de valor e opção de cancelar a transação antes da confirmação do pagamento”, explica um trecho do registro.
O problema fere, ainda, a Lei Geral de Proteção de Dados (LGPD), que indica que agentes (governamentais ou do setor privado) só podem armazenar dados de pessoas que consentem com uma operação.
Possibilidade de golpes
O próprio Nubank criou, em outubro de 2020, pouco tempo antes do início do sistema de pagamentos PIX, um manual com dicas para evitar cair em golpes. Nesse contexto, a exibição de CPFs é um problema porque expõe o usuário a vários perigos.
O próprio Nubank alerta sobre a exposição de dados pessoais
Criminosos podem usar CPFs para, entre coisas, abrir contas em bancos, obter cartões de crédito e comprar linhas de telefonia. Com o registro em mãos, os bandidos também conseguem ter acesso a outros dados pessoais, como endereço, telefone e nome dos pais.
Explicação do banco
Em nota ao Intercept, o Nubank afirmou que segue a regulação do BC e negou que a exposição dos CPFs das pessoas na lista de contatos do usuário seja uma falha de segurança. A empresa afirmou que, na verdade, a divulgação do dado é uma “segurança adicional aos clientes, pois permite que eles possam enviar recursos facilmente para contas com as quais transacionaram anteriormente, reduzindo o risco de erro na digitação manual dos dados ou pelo envio da chave que mudou de titularidade”.
O Intercept afirma, ainda, que após o envio da primeira nota de esclarecimento o Nubank entrou em contato novamente com o veículo e disse que o aplicativo seria atualizado para esconder os números dos CPFs.
Apesar do comentário da empresa, durante teste realizado nesta quarta-feira pelo TecMundo, os dados continuavam aparecendo completos, sem qualquer tipo de censura. Veja, abaixo, um exemplo, com os números que foram borrados pela reportagem.
Até esta quarta-feira, o Nubank continua exibindo CPFs de pessoas com outras contas
Fontes