Topo

Brecha em máquina da Cielo permitia fraude em pagamentos por Pix; entenda

Getty Images
Imagem: Getty Images

Aurélio Araújo

Colaboração com Tilt, de São Paulo

17/02/2022 15h54

A existência de uma falha de segurança em máquinas de pagamento via cartão da Cielo foi confirmada pela empresa após a repercussão de um vídeo que exibe alterações de valores em transações via Pix. As cenas viralizaram nos últimos dias em redes sociais e no WhatsApp.

Segundo a Cielo, a brecha no sistema já foi corrigida e não há mais riscos em fazer esse tipo de transação.

O que rolou?

No vídeo, um homem faz uma experiência: tenta passar uma compra de R$ 23.800 em uma maquininha da Cielo. Na hora de escolher o método, ele seleciona o Pix. O aparelho gera um QR Code, o qual ele lê com o aplicativo do seu banco.

Mas, nesse momento, o app pede que ele insira manualmente o valor do pagamento. O homem então coloca um milésimo do valor original, R$ 23,80. Ele confirma a operação, faz o pagamento com o preço adulterado e, mesmo assim, a máquina emite uma via de comprovante confirmando o — falso— pagamento de R$ 23.800.

Embora pudesse ter inserido qualquer valor, ainda abaixo de R$ 23,80, ele insinua que esse número seria uma escolha interessante para quem quisesse cometer a fraude. Se o fraudador fosse pego, afinal, poderia simplesmente dizer que esqueceu de inserir os outros zeros.

Como o comprovante em papel emitido pela máquina confirma a transação com o valor originalmente inserido, sem edição, o comerciante poderia só se dar conta do golpe caso conferisse sua conta bancária e constatasse não ter recebido o montante correto.

Segundo a assessoria de imprensa da Cielo, "a intercorrência na utilização de aplicativo para pagamento por Pix em máquina da Cielo foi isolada e já se encontra sanada". A empresa não deu maiores detalhes sobre o problema.

Falha já era conhecida desde janeiro

Segundo Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética), o problema já havia sido identificado na comunidade da segurança cibernética desde meados de janeiro. Para o especialista, essa é uma "típica brecha de segurança", e não uma vulnerabilidade.

O porta-voz da associação vê duas possibilidades para que a brecha tenha ocorrido: primeiro, na verificação da Cielo sobre o retorno do pagamento feito, para liberar a compra e emitir o comprovante. Segundo, no processo de emissão do QR Code de não ter um valor fixado para o Pix.

"Não se trata de uma falha do Pix em si, mas do processo de validação de pagamento da Cielo", explica Kin.

Kin acredita que, para resolver o problema, a empresa deve ter automatizado uma segunda verificação na etapa em que o pedido de pagamento é confirmado. Assim, o processo só continua se os números do valor cobrado forem os mesmos da transferência via Pix.

Caso exista algum erro, o sistema emite uma notificação informando que há diferença entre os valores.

O especialista ressalta que é sempre importante que as empresas mantenham rotinas de testes de sistemas digitais para diminuir o risco de brechas de segurança.