Nubank se posiciona sobre exposição de CPF em transação Pix

Mesmo que o cliente enviasse dinheiro usando uma chave aleatória, número de telefone ou e-mail, aplicativo deixava exposto CPF de terceiros. Em nota enviada à Security Report, instituição informa que fez ajustes no aplicativo, incluindo o mascaramento do CPF em todas as telas de confirmação de transferências

Compartilhar:

Uma matéria publicada no portal The Intercept Brasil indicou que o Nubank estava expondo o número de CPF de todas as pessoas que fizeram transações Pix no aplicativo, clientes ou não. A falha permite exposição de CPFs de terceiros, vindos da lista de contatos, mesmo se a chave Pix for um número de telefone, um e-mail ou uma chave aleatória.

 

Normalmente, para proteger os dados dos CPFs dos clientes, os demais bancos ocultam parte do documento de quem recebeu o pagamento, sendo possível identificar se a transação foi feita para a pessoa certa. O problema é que o Nubank só faz isso em transferências entre contas do próprio banco. Se o destinatário tiver conta em outro lugar, os dados são expostos.

 

Procurada pela Security Report, a assessoria do Nubank enviou uma nota informando que a instituição segue o Manual de Requisitos Mínimos para Experiência do Usuário, do Banco Central, e que a Segurança é um aspecto fundamental do Pix.

 

A instituição informa ainda que “disponibilizou, para toda sua base, uma atualização em seu app, em que, além de realizar alguns ajustes de praxe no aplicativo, irá mascarar o CPF em todas as telas de confirmação de transferências.”

 

A Security Report disponibiliza a nota enviada na íntegra:

 

“O Nubank reitera que segue a regulação do Banco Central, em especial o Manual de Requisitos Mínimos para Experiência do Usuário, que estabelece os campos mínimos que devem ser exibidos e o mascaramento de CPFs em seções específicas do aplicativo, todas as quais estão de acordo com o Manual — incluindo a lista de contatos.

 

A lista de contatos é uma funcionalidade complementar criada para aprimorar a experiência de nossos clientes, facilitando o envio de transferências feitas com frequência para os mesmos destinatários, evitando possíveis equívocos e até fraudes.

 

O Nubank ressalta que segurança é um aspecto fundamental da implementação do Pix e que essa funcionalidade complementa as medidas já previstas, assegurando o correto destino da sua transferência.

 

Em todo o caso, para evitar dúvidas, o Nubank disponibilizou, para toda sua base, uma atualização em seu app, em que, além de realizar alguns ajustes de praxe no aplicativo, irá mascarar o CPF em todas as telas de confirmação de transferências — lembrando que a LGPD, além de não classificar o CPF como um dado sensível, permite e estimula o tratamento de dados pessoais para finalidades que beneficiam clientes, terceiros e a própria sociedade, como o combate e a prevenção a fraudes e a preservação da segurança em sistemas eletrônicos.

 

O Nubank trabalha incessantemente para oferecer a melhor experiência no uso do Pix. A empresa disponibiliza e divulga conteúdos em diferentes canais públicos para informar e conscientizar o consumidor sobre o Pixproteção de dados e política de privacidade.”

 

Conteúdos Relacionados

Security Report | Destaques

Incidente na Snowflake expõe novo cenário de ataques por credenciais válidas, alerta Cisco Talos

Em artigo publicado no blog do laboratório de Threat Intel, ressalta-se que o cenário de ciberameaças está ampliando o uso...
Security Report | Destaques

Security Awareness: o papel da indústria vai além da oferta?

Ações de conscientização em SI se tornaram indispensáveis, mas o desafio está na construção de uma cultura sólida em Cibersegurança....
Security Report | Destaques

“Antifraude deve enfrentar laranjas e conscientizar usuário”, diz diretor de SI do Itaú

Adriano Volpini, responsável pela proteção corporativa do banco, apresentou um workshop sobre combate a golpes bancários na internet voltado para...
Security Report | Destaques

Prefeitura de Ponta Grossa é alvo de ataque cibercriminoso

Poder executivo municipal confirmou ocorrência por meio de comunicado enviado essa semana por e-mail. De acordo com o Departamento de...