PicPay e Mercado Pago podem ser invadidos em celular desbloqueado com Gmail

Aplicativos de bancos e carteiras digitais são alvo de ladrões que acessam o Gmail em celulares desbloqueados; entenda o caso e veja como aumentar sua segurança

André Leonardo
• Atualizado há 1 ano e 2 meses

No final de abril, o caso do agente de talentos Bruno de Paula, que teve seu celular roubado e em seguida acabou sofrendo roubos de mais de R$ 100 mil em suas contas bancárias, viralizou nas redes sociais. O caso expôs a facilidade com que criminosos conseguem realizar operações em aplicativos ao ter posse de poucas informações das vítimas. Usuários do PicPay e do Mercado Pago podem ficar vulneráveis a algo semelhante, devido à falta de proteção do Gmail. Entenda como isso é possível.

Imagem - capa PicPAy e Mercado Pago
PicPay, Mercado Pago e Gmail (Imagem: Vítor Pádua / Tecnoblog)

O aplicativo do Gmail é um ponto de preocupação, por não contar com nenhuma forma de restrição de acesso. Portanto, um criminoso que pegou um celular desbloqueado pode clicar no ícone do aplicativo para acessar o conteúdo dos e-mails e coletar informações que podem ser úteis para efetuar um roubo ou conseguir empréstimos em contas de aplicativos que não estejam configurados de maneira segura.

Como a invasão pode acontecer no Mercado Pago

Aplicativo do Mercado Pago (imagem: Emerson Alecrim/Tecnoblog)
Aplicativo do Mercado Pago (Imagem: Emerson Alecrim/Tecnoblog)

O Mercado Pago exibe uma tela de bloqueio toda vez que é acessado. Isso ajuda a prevenir roubos fáceis em um primeiro momento, porém é possível contornar o bloqueio ao usar site do Mercado Pago pelo navegador e utilizar a opção “recuperação de senha”, para obter as informações de acesso através do e-mail cadastrado no serviço.

Um criminoso que esteja de posse do celular pode solicitar uma nova senha pelo e-mail. Como o aplicativo do Gmail não conta com nenhuma maneira de proteção ao acesso, como já ocorre com o Outlook e o Mail da Apple, esse fator pode facilitar a ação do bandido.

No teste, fiz o seguinte: acessei o Mercado Pago, por meio do navegador no celular, solicitei que o site enviasse a recuperação de senha para o e-mail. Com o celular em mãos, acessei o Gmail para conseguir as informações e realizar todas as alterações e confirmações necessárias até conseguir fazer uma transferência via Pix. Portanto, é importante ficar atento ao quanto de dinheiro você deixa guardado no aplicativo.

Se por um lado é mais cômodo para o usuário ter sua recuperação de senhas no e-mail, por outro, pode facilitar o processo de roubo de dados. Entretanto, dá para aumentar a segurança da conta.

O que você pode fazer para aumentar sua segurança

Você pode aumentar a sua segurança no Mercado Pago de algumas maneiras através do menu “Segurança”

Habilite a verificação em duas etapas

Esse é um recurso de proteção básico, mas muitas pessoas esquecem ou desabilitam. Contudo, em vez de definir o e-mail ou SMS como método de verificação, você pode utilizar um aplicativo de autenticação como o Google Authenticator. Nós já explicamos como deixar sua conta do Mercado Pago mais segura usando este método.

Ative o uso de senha de desbloqueio do aplicativo

Outra possibilidade de aumentar a sua segurança é habilitar o uso da senha de desbloqueio do app para que seja necessário inserir essa informação a cada operação ou a partir de um determinado tempo de inatividade do aplicativo.

Para encontrar essa opção, faça o seguinte:

  1. Clique no ícone inferior direito, aquele com três traços e a palavra “Mais”;
  2. Após, acesse o campo “Seu perfil”;
  3. No campo seguinte abra a opção “Segurança” e depois “Segurança no App”.

A conexão entre aplicativos apresentam certas fragilidades, mas seria importante que as empresas investissem um pouco mais em campanhas que informam o usuário sobre os recursos de segurança disponíveis e sua importância, principalmente em um país com altos índices de roubos e golpes como o Brasil.

Como a invasão pode acontecer no PicPay

App do PicPay (Imagem: Divulgação/PicPay)
App do PicPay (Imagem: Divulgação/PicPay)

O PicPay não tem a proteção de acesso definida como padrão, permitindo que qualquer pessoa consiga abrir o aplicativo e acessar os dados disponíveis, como informações da conta e saldo, sem dificuldades.

A senha do aplicativo só é solicitada quando existe a tentativa de realizar alguma operação, como a transferência por Pix. Contudo, o criminoso pode digitar a senha errada e depois selecionar a opção “Esqueci a senha”.

O aplicativo vai pedir o número de CPF cadastrado na conta. O problema é que a informação referente ao CPF pode ser encontrada em algum documento ao pesquisar no app do Gmail ou até mesmo em algum vazamento de dados que pode ser encontrado no próprio Google. Por fim, ao inserir o número do CPF no aplicativo, o indivíduo recebe o código para redefinição de senha por e-mail ou SMS.

Imagem recuperação de senha  PicPay
PicPay: (Imagem: André Leonardo/ Tecnoblog)

Outro ponto que assusta internautas é a facilidade com que o PicPay oferece e libera empréstimos, como também foi noticiado aqui no Tecnoblog. Afinal, mesmo que a pessoa não tenha nenhuma quantia na conta, ainda pode correr o risco de ter um empréstimo feito em seu nome.

PicPay diz que sistema é protegido em movimentações suspeitas

Em comunicado ao Tecnoblog, o PicPay teve o seguinte posicionamento:

O PicPay esclarece que segurança é sua prioridade. Sempre que houver pedido de redefinição da senha e for identificada uma movimentação suspeita, a companhia exige a biometria com prova de vida do próprio aplicativo (além da disponibilizada pelo smartphone), que é atualmente a melhor solução de mercado disponível para prevenção à fraude. Portanto, a reportagem induz a uma violação de segurança que não se aplica.

A empresa enfatiza que o caso mencionado no início da reportagem não tem relação com o PicPay.

Além disso, o PicPay reforça que investe constantemente no aprimoramento dos sistemas de segurança e proteção de dados, reafirmando o seu compromisso de preservar as informações dos seus clientes, e orienta reiteradamente seus usuários sobre as melhores práticas de segurança.

Entretanto, em testes de redefinição de senha realizados por mais membros da equipe do Tecnoblog, o aplicativo não exigiu a biometria ou alguma medida de segurança adicional para realizar transações.

Quando perguntamos ao PicPay sobre movimentações suspeitas ou quando a biometria e prova de vida seriam pedidos, a empresa informou o seguinte:

O PicPay tem times e ferramentas dedicadas a monitorar riscos e comportamentos suspeitos em tempo real para garantir a experiência mais segura possível, com uso de alta tecnologia para mapear riscos. Nos casos suspeitos, há o passo adicional da biometria com prova de vida.

O que fazer para deixar a conta PicPay mais protegida

É possível aumentar a segurança do PicPay com algumas atitudes simples como: ativar a biometria, colocar uma tela de bloqueio e até mesmo reduzir o limite de dinheiro que pode ser movimentado no aplicativo.

Faça o cadastro de biometria

Cadastrar a biometria pode ser útil como uma maneira de confirmação para cada transação que será feita, aumentando a segurança. Você pode conferir o tutorial com detalhes de como cadastrar a biometria no PicPay

Ative a proteção de acesso

Essa opção serve para exibir uma tela de bloqueio no PicPay e evitar que tenham acesso ao app facilmente. Vale lembrar que o código de bloqueio utilizado pelo aplicativo é o mesmo utilizado como no bloqueio de tela do celular.

Reduza o limite por transações 

Você também pode diminuir o limite de dinheiro a ser transferido por Pix na sua conta. Dessa maneira, pode alterar o valor padrão do app para uma quantia menor do que a definida inicialmente. Para isso, faça o seguinte:

  1. Entre seu perfil;
  2. Acesse o campo “Gerenciamento de conta”;
  3. Depois, a opção “Meus limites diários”. Neste ponto, basta alterar o valor.
Imagem como reduzir limite de dinheiro em transações do PicPay
App Mercado Pago (Imagem: André Leonardo/ Tecnoblog)

Outras maneiras de tentar proteger seus dados

Algumas pessoas preferem usar telefones secundários para aplicativos financeiros. Ok, nem todo mundo tem dois celulares, e sair com um telefone sem apps financeiros ou o Gmail pode não ser prático para quem passa o dia inteiro na rua, mas dá para dificultar o acesso a tais apps no próprio celular. Além das dicas acima, alguns recursos do Android ou iOS ajudam a aumentar a segurança.

Se você tem um Samsung, por exemplo, pode usar a função de Pasta Segura para bloquear certos aplicativos com senha. Para outros aparelhos que rodam Android, tem outros truques que ajudam esconder apps no sistema.

Já no caso do iPhone (iOS), pode usar o recurso de Tempo de Uso para restringir o uso desses aplicativos de banco ou carteiras digitais. Ao ativar a função com um tempo curto (de um minuto, por exemplo), o iPhone pedirá a senha configurada toda a vez que tentar acessar naquele dia.

É uma forma de bloquear apps no iPhone. Mas cuidado, já que a senha pode ser diferente da usada para desbloquear o iPhone — não vá se perder.

Não custa lembrar que caso tenha seu celular roubado é muito importante que você entre em contato com as empresas responsáveis pelos aplicativos e informe o ocorrido para que evitem operações em suas contas.

Mesmo que no seu caso, as empresas não sejam eficientes em barrar transações, no pior cenário, você terá provas que informou o ocorrido e isso pode ser útil em uma ação na justiça.

Leia | Como recuperar sua conta Google caso tenha esquecido o e-mail do Gmail

Relacionados

Escrito por

André Leonardo

André Leonardo

Ex-analista de conteúdo

André Leonardo é jornalista e radialista formado pela UCAM, com MBA em Mídias Sociais. Trabalhou por 15 anos no mercado audiovisual em empresas como TV Brasil e TV Globo. No Tecnoblog, foi analista de conteúdo entre 2020 e 2023. Apaixonado por games, produziu conteúdo para sites e seu canal no YouTube. Já foi judoca, skatista e atualmente está começando a encarar corridas leves.