Ultrapar (UGPA3): Falha de segurança expõe dados de clientes do Abastece Aí

(Essa matéria foi atualizada às 19h10 do dia 16/09/2022 para incluir o posicionamento da Abastece-aí sobre o tema.) 

Dados pessoais vinculados a mais de 137 mil chaves Pix de clientes da Ultrapar (UGPA3) foram vazados entre julho e setembro deste ano, informou o Banco Central (BC) nesta sexta-feira (16). As informações foram retiradas do programa Abastece Aí Clube Automobilista Payment LTDA (Abastece Aí).

Segundo o BC, os dados vazados incluem nome do usuário, CPF, instituição de relacionamento, agência, número e tipo da conta e a data de criação da chave Pix. Não foram expostas informações sensíveis, como senhas, informações de movimentações ou saldos financeiros em contas, entre outras informações sob sigilo bancário.

“As informações obtidas são de natureza cadastral, que não permitem movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, informou a autoridade monetária.

Os usuários que tiveram os dados expostos serão notificados por meio do aplicativo da Ultrapar ou pelo próprio banco vinculado à conta. “Nem o BC nem as instituições participantes usarão quaisquer outros meios de comunicação aos usuários afetados, tais como aplicativos de mensagem, chamadas telefônicas, SMS ou e-mail”, ressaltou o BC.

O BC também informou que “adotou as ações necessárias para a apuração detalhada do caso e aplicará as medidas sancionadoras previstas na regulação vigente”.

No segundo trimestre, a Ultrapar informou que teve um Ebitda (lucro antes de juros, impostos, depreciação e amortização) negativo de R$ 14 milhões nas operações do programa Abastece Aí devido a despesas com pessoal e tecnologia, com destaque para serviços de prevenção a fraudes.

O que diz a empresa

Em nota enviada à Agência TradeMap, a Abastece-aí, que opera o aplicativo de mesmo nome, afirmou que já bloqueou as atividades suspeitas do qual foi vítima. “A empresa reforça que todas as medidas cabíveis a essa investigação já estão sendo tomadas”.

Assim como o BC, a empresa ressaltou que não foram expostas senhas, informações de movimentações, saldos financeiros ou quaisquer outras informações sob sigilo bancário.

“Potenciais informações indevidamente acessadas do PIX são dados cadastrais, não permitindo movimentação de recursos, nem acesso às contas ou a outras informações financeiras”, explica o comunicado.