Uma matéria publicada no portal The Intercept Brasil indicou que o Nubank estava expondo o número de CPF de todas as pessoas que fizeram transações Pix no aplicativo, clientes ou não. A falha permite exposição de CPFs de terceiros, vindos da lista de contatos, mesmo se a chave Pix for um número de telefone, um e-mail ou uma chave aleatória.
Normalmente, para proteger os dados dos CPFs dos clientes, os demais bancos ocultam parte do documento de quem recebeu o pagamento, sendo possível identificar se a transação foi feita para a pessoa certa. O problema é que o Nubank só faz isso em transferências entre contas do próprio banco. Se o destinatário tiver conta em outro lugar, os dados são expostos.
Procurada pela Security Report, a assessoria do Nubank enviou uma nota informando que a instituição segue o Manual de Requisitos Mínimos para Experiência do Usuário, do Banco Central, e que a Segurança é um aspecto fundamental do Pix.
A instituição informa ainda que “disponibilizou, para toda sua base, uma atualização em seu app, em que, além de realizar alguns ajustes de praxe no aplicativo, irá mascarar o CPF em todas as telas de confirmação de transferências.”
A Security Report disponibiliza a nota enviada na íntegra:
“O Nubank reitera que segue a regulação do Banco Central, em especial o Manual de Requisitos Mínimos para Experiência do Usuário, que estabelece os campos mínimos que devem ser exibidos e o mascaramento de CPFs em seções específicas do aplicativo, todas as quais estão de acordo com o Manual — incluindo a lista de contatos.
A lista de contatos é uma funcionalidade complementar criada para aprimorar a experiência de nossos clientes, facilitando o envio de transferências feitas com frequência para os mesmos destinatários, evitando possíveis equívocos e até fraudes.
O Nubank ressalta que segurança é um aspecto fundamental da implementação do Pix e que essa funcionalidade complementa as medidas já previstas, assegurando o correto destino da sua transferência.
Em todo o caso, para evitar dúvidas, o Nubank disponibilizou, para toda sua base, uma atualização em seu app, em que, além de realizar alguns ajustes de praxe no aplicativo, irá mascarar o CPF em todas as telas de confirmação de transferências — lembrando que a LGPD, além de não classificar o CPF como um dado sensível, permite e estimula o tratamento de dados pessoais para finalidades que beneficiam clientes, terceiros e a própria sociedade, como o combate e a prevenção a fraudes e a preservação da segurança em sistemas eletrônicos.
O Nubank trabalha incessantemente para oferecer a melhor experiência no uso do Pix. A empresa disponibiliza e divulga conteúdos em diferentes canais públicos para informar e conscientizar o consumidor sobre o Pix, proteção de dados e política de privacidade.”