Brecha em máquina da Cielo permitia fraude em pagamentos por Pix; entenda
A existência de uma falha de segurança em máquinas de pagamento via cartão da Cielo foi confirmada pela empresa após a repercussão de um vídeo que exibe alterações de valores em transações via Pix. As cenas viralizaram nos últimos dias em redes sociais e no WhatsApp.
Segundo a Cielo, a brecha no sistema já foi corrigida e não há mais riscos em fazer esse tipo de transação.
O que rolou?
No vídeo, um homem faz uma experiência: tenta passar uma compra de R$ 23.800 em uma maquininha da Cielo. Na hora de escolher o método, ele seleciona o Pix. O aparelho gera um QR Code, o qual ele lê com o aplicativo do seu banco.
Mas, nesse momento, o app pede que ele insira manualmente o valor do pagamento. O homem então coloca um milésimo do valor original, R$ 23,80. Ele confirma a operação, faz o pagamento com o preço adulterado e, mesmo assim, a máquina emite uma via de comprovante confirmando o — falso— pagamento de R$ 23.800.
Embora pudesse ter inserido qualquer valor, ainda abaixo de R$ 23,80, ele insinua que esse número seria uma escolha interessante para quem quisesse cometer a fraude. Se o fraudador fosse pego, afinal, poderia simplesmente dizer que esqueceu de inserir os outros zeros.
Como o comprovante em papel emitido pela máquina confirma a transação com o valor originalmente inserido, sem edição, o comerciante poderia só se dar conta do golpe caso conferisse sua conta bancária e constatasse não ter recebido o montante correto.
Segundo a assessoria de imprensa da Cielo, "a intercorrência na utilização de aplicativo para pagamento por Pix em máquina da Cielo foi isolada e já se encontra sanada". A empresa não deu maiores detalhes sobre o problema.
Falha já era conhecida desde janeiro
Segundo Hiago Kin, presidente da Abraseci (Associação Brasileira de Segurança Cibernética), o problema já havia sido identificado na comunidade da segurança cibernética desde meados de janeiro. Para o especialista, essa é uma "típica brecha de segurança", e não uma vulnerabilidade.
O porta-voz da associação vê duas possibilidades para que a brecha tenha ocorrido: primeiro, na verificação da Cielo sobre o retorno do pagamento feito, para liberar a compra e emitir o comprovante. Segundo, no processo de emissão do QR Code de não ter um valor fixado para o Pix.
"Não se trata de uma falha do Pix em si, mas do processo de validação de pagamento da Cielo", explica Kin.
Kin acredita que, para resolver o problema, a empresa deve ter automatizado uma segunda verificação na etapa em que o pedido de pagamento é confirmado. Assim, o processo só continua se os números do valor cobrado forem os mesmos da transferência via Pix.
Caso exista algum erro, o sistema emite uma notificação informando que há diferença entre os valores.
O especialista ressalta que é sempre importante que as empresas mantenham rotinas de testes de sistemas digitais para diminuir o risco de brechas de segurança.
ID: {{comments.info.id}}
URL: {{comments.info.url}}
Ocorreu um erro ao carregar os comentários.
Por favor, tente novamente mais tarde.
{{comments.total}} Comentário
{{comments.total}} Comentários
Seja o primeiro a comentar
Essa discussão está encerrada
Não é possivel enviar novos comentários.
Essa área é exclusiva para você, assinante, ler e comentar.
Só assinantes do UOL podem comentar
Ainda não é assinante? Assine já.
Se você já é assinante do UOL, faça seu login.
O autor da mensagem, e não o UOL, é o responsável pelo comentário. Reserve um tempo para ler as Regras de Uso para comentários.