Uma falha de implantação do sistema de pagamentos PIX, em dezembro de 2020, na loja online Kabum permitia que um invasor visualizasse os dados de outros clientes. Dessa forma, era possível acompanhar qual o pedido feito, valor, nome completo e CPF do comprador, data e número do pedido. Ao ser alertada sobre o problema, a Kabum fez a correção imediata — e não há relatos de que a brecha tenha sido explorada maliciosamente.
A Kabum foi alertada sobre o problema, que foi corrigido poucas horas após o alerta
Segundo uma fonte anônima, o problema estava no string do QR Code usado para pagamento PIX. “A Kabum segue o número do pedido que é sequencial, por isso é fácil achar outros. E aí pelos dados do QR Code é só seguir o fio até os dados pessoais do pagador e o que ele pediu”, alertou a fonte.
Quando perguntada sobre a criptografia dessas informações, a fonte respondeu: “Criptografia não traz sigilo quando não há um elemento secreto; a criptografia dos dados do Pix garante autenticidade e cadeia de responsabilização, mas só isso”. A loja online complementa: “Reforçamos que o sistema foi implementado pelo KaBuM! seguindo todas as recomendações e protocolos de segurança solicitados pelo Banco Central”.
Falha
- A Kabum foi alertada pelo TecMundo sobre o problema, que foi corrigido poucas horas após o alerta no dia 18 de dezembro.
De acordo com os documentos recebidos, a vulnerabilidade aconteceu em pagamentos realizado pelo PIX Itaú em um período específico. A Kabum nega que a falha tenha sido explorada por cibercriminosos.
Erro estava no QR Code
Posicionamento da Kabum
Assim como em todos os desenvolvimentos da companhia, especialmente uma inovação como o PIX, os protocolos de segurança e de melhores práticas são adotados de maneira integral. Deste modo, reforçamos que o sistema foi implementado pelo KaBuM! seguindo todas as recomendações e protocolos de segurança solicitados pelo Banco Central.
Diante da possibilidade descrita pelo TecMundo, em 18 de dezembro de 2020, compreendendo os primeiros dias de funcionamento do serviço, tanto os times de desenvolvimento e segurança do KaBuM! quanto os das instituições financeiras fornecedoras do PIX foram prontamente acionados para a realização de novos testes e eventuais correções, a fim de evitar qualquer comportamento sistêmico diferente do esperado pelos protocolos estabelecidos, assim como garantir que não houvesse vazamento de dados ou qualquer tipo de dano aos nossos clientes.
Dentro das melhorias contínuas e prezando pela máxima cautela, ainda referente ao contato do Tecmundo, anteriormente foi realizada uma atualização para que todos os dados contidos na chave Pix sejam apagados automaticamente, tanto pelo KaBuM! quanto pelo Banco Central após sua expiração, o que ocorre em apenas 30 minutos. Isso mitiga amplamente qualquer exposição de dados.
É importante destacar que, por se tratar de um novo sistema, é natural que o Pix esteja sujeito a aperfeiçoamentos. Exemplo disso foi o episódio presenciado no dia 11 de fevereiro de 2021, envolvendo oscilações da plataforma do meio de pagamento do Banco Central nas instituições financeiras de todo o país. No entanto, tais necessidades de melhorias não se sobrepõem à importância desse serviço aos consumidores brasileiros e empresas.
Em nosso e-commerce, o PIX está completando dois meses, funcionando de forma rápida e segura, sem nenhuma intercorrência desde a sua implementação. O novo serviço ocupa, inclusive, a segunda colocação em preferência pelos métodos de pagamento utilizados por nossos clientes.
Novamente, o KaBuM! agradece imensamente pelo profissionalismo do TecMundo e de sua fonte, assim como pela oportunidade de esclarecimentos. Permanecemos à disposição.
