Em nota, o Nubank diz apenas que o envio indevido de uma mensagem a clientes “decorreu de um erro operacional pontual, que está sendo investigado internamente”. Segundo a instituição, “o caso não tem qualquer relação com a segurança da plataforma, a proteção das informações dos clientes ou a solidez da companhia”. Sem detalhes oficiais sobre o caso, participantes da indústria de segurança cibernética avaliam algumas possibilidades. Marco Zanini, CEO da Dinamo Networks, aponta que, pelo que se sabe até o momento, poderia ter ocorrido algum tipo de invasão no app ou no backend do Nubank. “Esses ‘injection’ estão se proliferando. Só há duas formas de isso acontecer: ou vazando a base de dados de clientes ou realmente usando o app para transmitir esse comunicado aos clientes.” Rafael Franco, CEO da Alphacode, indica que o incidente também poderia se tratar de uma tentativa de “phishing”, quando criminosos criam uma comunicação falsa para levar os usuários a clicarem em links e compartilharem seus dados. “Geralmente o objetivo é fazer o usuário ir para um link malicioso, mas o ‘phishing’ também poderia ser usado por alguém querendo prejudicar a imagem da instituição, eventualmente até um concorrente.” Luiz Claudio, CEO e fundador da LC SEC, diz que o fato de uma comunicação dessa gravidade ter sido enviada por canais oficiais, como e-mail e aplicativo, mostra que o incidente deve ser tratado com seriedade, não apenas como uma falha de comunicação. “Em instituições financeiras digitais, mensagens para clientes normalmente passam por plataformas internas de comunicação, automação, CRM, push notification ou e-mail marketing integradas a bases oficiais. Um erro nesse tipo de ambiente pode ocorrer por falha humana, uso indevido de template, automação mal configurada, ambiente de teste conectado indevidamente à produção ou falha no fluxo de aprovação antes do disparo. Também é tecnicamente necessário apurar se houve comprometimento de credenciais, abuso de permissões internas ou alteração não autorizada em sistemas de comunicação.” Douglas Barbosa, da Sec4U, também vê chance de erro operacional. “Não acho que um ataque teria o objetivo de mandar essa mensagem sobre liquidação do banco. Pode ser alguma ação indevida interna do Nubank, um erro operacional, um teste mal feito, um pedaço de código que sobrou em alguma situação mal controlada.” Outro especialista não acredita em ataque hacker nem em erro operacional. “Se fosse um ataque hacker, eles têm outros meios mais rápidos e eficientes de tirar dinheiro da empresa. Também não creio em erro, até porque não faz sentido o Nubank ter um comunicado desse tipo já pronto e estruturado e alguém publicou por engano. Tem toda cara de sabotagem interna.” Os técnicos apontam que, mesmo que fosse um funcionário de baixo escalão, por ele já ter acesso aos sistemas internos do banco, ficaria mais fácil burlar algumas regras de permissionamento e fazer essa sabotagem. “Se foi interno, não é ação de estagiário. Seria de alguém com um nível de acesso um pouco mais elevado. Pode ter sido uma tática de ‘time bomb’ e a motivação seria pedir um resgate”, aventa um analista. Um membro de uma associação setorial aponta que o Nubank agora deve estar fazendo uma perícia cibernética muito grande e precisará rever diversos processos internos. Além disso, embora não seja obrigada a dar explicações públicas, a instituição certamente terá de responder a cobrança do Banco Central. “Aparentemente o aviso foi para apenas uma parte da base de clientes, mas no limite poderia até mesmo gerar um risco sistêmico”, aponta. O BC prontamente negou que tenha decretado a liquidação do Nubank. Essa é uma medida drásrica, raramente adotada, e que só ocorre após uma série de outras tentativas de remediação. O banco não enfrenta nenhum tipo de dificuldade operacional, insuficiência de liquidez ou capital. Mensagem suspeita em app do Nubank — Foto: Reprodução