O Nubank expôs seu CPF – mesmo que você não fosse cliente deles

Em outubro do ano passado, o Nubank fez uma publicação de utilidade pública. “Golpes usando o Pix: veja como funcionam e como evitar cair nessa” era o título do texto que alertava para tentativas de fraude que poderiam usar o novo meio de pagamento. O texto dava um exemplo de fraude: usar emails falsos para fazer com que elas digitassem voluntariamente dados sensíveis, como o CPF. Com esses dados, golpistas podem comprar chips de celular no seu nome e até abrir contas bancárias. Ainda faltavam mais de 30 dias para o Pix entrar em funcionamento, e os bancos já estavam se desdobrando para garantir as chaves dos seus clientes. Eles queriam se precaver: conseguir esses dados era justamente a intenção dos golpistas.  Mas o Pix entrou no ar, e o próprio Nubank que expôs informações.

Foto: Reprodução/Nubank

Do lançamento do Pix até 25 de fevereiro, o aplicativo do Nubank deixou público o número de CPF de todas as pessoas que já tinham usado o sistema para enviar ou receber dinheiro. Fosse você cliente do Nubank ou não, seu CPF pôde ser visto por terceiros que já tenham te enviado um pagamento, mesmo se sua chave Pix for um número de telefone, um e-mail ou uma chave aleatória.

Não custa lembrar: com seu CPF, e-mail ou número de telefone expostos — dados pessoais utilizados no lugar do número da conta bancária no novo método —, você se torna um alvo mais fácil de ataques, golpes ou vigilância.

Os dados ficaram expostos no aplicativo do Nubank: após abrir a janela de transferência, uma lista de todos os contatos que já te enviaram ou receberam dinheiro aparece, em ordem alfabética. Clicar em um nome abre uma nova janela, com todas as contas bancárias dessa pessoa com quem você já teve contato. E aí, então, o número de CPF estava disponível.

Veja como o Nubank está expondo você:

Os demais bancos têm uma medida simples para proteção dos CPFs dos clientes. Todos os comprovantes de transações por Pix ocultam parte do CPF de quem recebeu o pagamento, mostrando apenas seis dos 11 dígitos. Assim, é possível identificar se a transação foi feita para a pessoa certa, mas não realizar um golpe. O problema é que o Nubank só fazia isso em transferências entre contas do próprio banco. Se o destinatário tivesse conta em outro lugar, os dados eram expostos.

Para Eduardo Cuducos, doutor em sociologia pela Universidade de Essex, do Reino Unido, e pesquisador de tecnologia, essa é a pergunta a se fazer logo de cara: por que o Nubank omitia apenas os CPFs dos seus clientes durante as transações? “Se fizer parte da ideia do Pix reduzir intencionalmente a exposição de dados sensíveis, então o Nubank está na contramão do Banco Central”, afirmou ele. Perguntei ao Nubank, quando a exposição ainda estava acontecendo, por que o banco omitia os CPFs de seus clientes, mas mostrava os dados dos clientes de outras instituições bancárias. Não obtive resposta sobre isso.

O Banco Central, por sua vez, garante que “a segurança faz parte do desenho do Pix desde seu princípio” e é priorizada em todos os aspectos do sistema, “inclusive em relação às informações pessoais”. Um documento desenvolvido pelo órgão, intitulado Requisitos Mínimos para Experiência do Usuário, recomenda detalhes a serem adicionados nos aplicativos dos bancos e define as obrigações das instituições financeiras no oferecimento do Pix. Entre elas, está a de mascarar os CPFs dos usuários recebedores do Pix. “A seleção da chave deve retornar os dados do usuário recebedor para conferência: nome completo, CPF mascarado (ex: ***.777.888-**)/CNPJ, além de valor e opção de cancelar a transação antes da confirmação do pagamento”, diz o documento.

Em uma instrução normativa de outubro de 2020, o Banco Central estabelece quais informações devem ser prestadas ao órgão pelos bancos que aderiram ao Pix. É de responsabilidade das instituições bancárias recolher informações sobre cada transação feita, como valor e data, e dados pessoais dos envolvidos, como CPF. Para Luiz Guilherme Ros, mestre em direito constitucional e sócio do escritório Silva Matos Advogados, a existência e a utilização desses dados para controle não dava ao Nubank, de acordo com as informações disponíveis até agora, abertura para cedê-los a quem realiza uma transferência.

‘Várias medidas possibilitam o uso dos dados, mas o presente caso não parece ser nenhuma delas, ao menos em uma primeira análise’.

Além de não encontrar justificativa em nenhuma instrução do Banco Central, a exposição do Nubank pode ter ferido a recém-vigente Lei Geral de Proteção de Dados, a LGPD, que dispõe sobre o tratamento de dados pessoais no Brasil.

A LGPD define em quais casos essas informações podem ser coletadas e utilizadas. A norma também indica que, para que isso aconteça, a utilização dos dados precisa ser consentida, necessária ou de legítimo interesse, por exemplo. E, de acordo com Ros, a exposição dos números de CPF pelo Nubank parecia não estar protegida por nenhuma dessas bases legais.

“Várias medidas possibilitam o uso dos dados, mas o presente caso não parece ser nenhuma delas, ao menos em uma primeira análise”, explicou o advogado. “Consentimento, por exemplo: nesse caso, estamos falando de pessoas que sequer são necessariamente usuárias do Nubank – e não têm, portanto, como consentir com essa utilização de seus dados”.

O legítimo interesse, que tenta balancear interesses da empresa e direitos dos cidadãos sobre os dados pessoais, também não serve de respaldo para o Nubank. Para Ros, ele “é uma via de mão dupla: precisa atender o legítimo interesse da posse dos dados e também o legítimo interesse do titular dos dados em compartilhá-los com um terceiro”. Se essa via de mão dupla não é respeitada, a empresa pode, em tese, estar infringindo a LGPD.

“Se eu quero criar uma chave aleatória para não fornecer meu CPF, parece que a segunda via da mão dupla, que respeita a escolha de divulgação ou não de dados pessoais, pode não estar sendo observada nesse caso”, explicou Ros. “A não ser que se tenha uma situação em que seja estritamente necessária não só a coleta desse dado, o que já acontece, mas também a disponibilização dele, nós podemos falar em uma violação à LGPD”, completou.

O não cumprimento das obrigações pode acarretar penas às instituições bancárias. Ao Nubank, pode ser imputado o pagamento de multas, divididas em categorias de R$ 50 mil, R$ 100 mil e R$ 1 milhão, suspensão temporária ou exclusão do novo método de transferências, como indica o Manual de Penalidades do Pix, presente em resolução do Banco Central.

Dados a um Google de distância

Esse não foi o primeiro problema de segurança do Nubank. Um script desenvolvido ano passado pelo pesquisador Heitor Gouvêa descobriu que dados de centenas de clientes do Nubank estavam disponíveis na internet. Nome, CPF e dados bancários eram retornados pelo Google em pesquisas.

Na época, o Nubank negou que a falha fosse do banco e responsabilizou os usuários pela disponibilidade dos dados, por terem sido postados em outros sites, como redes sociais. “Essa é uma escolha e uma ação voluntária dos próprios clientes”, diz um comunicado do banco. Ainda assim, o Nubank afirmou ter analisado o relatório produzido pelo pesquisador e tomado medidas para aprimorar o aplicativo e solicitar o bloqueio desse tipo de informações no Google.

Ainda em 2020, outra possível falha de segurança veio à tona quando clientes do Nubank, Bradesco e Itaucard começaram a perceber compras indevidas em seus cartões de crédito. À época, o Nubank negou que a segurança dos clientes ou da plataforma estivesse comprometida.

Questionado pelo Intercept sobre as exposições, em nota, o Nubank informou que segue a regulação do Banco Central para implementação do Pix, “em especial o Manual de Requisitos Mínimos para Experiência do Usuário”, documento citado acima. A empresa também nega que a integração da lista de contatos, com exposição do CPF de terceiros, tenha sido uma falha de segurança. Pelo contrário, o banco a definiu como uma “segurança adicional aos clientes, pois permite que eles possam enviar recursos facilmente para contas com as quais transacionaram anteriormente, reduzindo o risco de erro na digitação manual dos dados ou pelo envio a chave que mudou de titularidade”.

Em 22 de fevereiro, dias após o envio da nota, a assessoria do Nubank ligou para o Intercept afirmando que seu aplicativo passaria por uma atualização no dia 25 e que, na ocasião, o banco passaria a ocultar o CPF de todas as pessoas. O Nubank continuou a afirmar, contudo, que a exibição do número era uma ajuda para o cliente “evitar que ele seja vítima de um golpe ou de uma fraude, para que ele possa conferir todos os dados”. “A gente viu a oportunidade de incluir essa atualização agora, a oportunidade de mascarar o CPF também”. Questionada sobre que “oportunidade” seria aproveitada, já que o detalhamento do CPF é considerado pelo banco uma medida de segurança, a assessoria negou que a mudança tenha qualquer relação com a revelação feita por esta reportagem.

Correção: 24 de fevereiro, 17h05
Uma versão anterior deste texto afirmava que, após perguntar por que o Nubank omite os CPFs de seus clientes, mas expõe os dados dos clientes de outras instituições bancárias, o repórter não obteve resposta. Mudamos a frase para deixar mais claro que o banco não respondeu especificamente a esse questionamento, apesar de ter havido contato.

Atualização: 25 de fevereiro, 16h31
O aplicativo do banco foi atualizado em 25 de fevereiro e, a partir de então, todos os CPFs passaram a ser mascarados, conforme a assessoria do Nubank havia informado que aconteceria.

Atualização: 2 de março, 14h27
Este texto, originalmente escrito no tempo verbal presente, foi alterado para o passado, a fim de refletir a mudança ocorrida no aplicativo do banco.