O pesquisador brasileiro Heitor Gouvêa revelou uma brecha de segurança, através da qual o Nubank acabou expondo os dados de seus correntistas na web, sendo que qualquer pessoa poderia consultá-los, através de um “dork” (parâmetro específico de pesquisa) no Google ou no Bing, resgatando informações como nome completo, CPF, agência, número da conta e valor da transferência requisitada.

É provável que você também goste:

Qual é o investimento mais escolhido pelos jovens brasileiros?

Inter antecipa Black Friday e promove dia de ofertas especiais com o dobro do limite do cartão de crédito.

Bancos dobram para R$ 100 o limite de compras sem uso de senha.

Dados de correntistas do Nubank estavam disponíveis no Google

De acordo com o relatório (em detalhes) publicado em seu blog, o problema estava no recurso “Cobrar” do aplicativo da fintech, que permite criar um link compartilhável — inclusive para internautas que não possuem conta no Nubank — contendo um QR Code, o valor requisitado para pagamento e dados bancários para que o devedor consiga lhe transferir a quantia devida. Esse link pode ser compartilhado em mensageiros ou redes sociais.

Fonte: Blog de Heitor Gouvêa

Nubank – link para transferência – Fonte: Blog de Heitor Gouvêa

Enfim, cada página de cobrança gerada através deste método possui uma URL única, e ao usar uma dork nos motores de busca, Heitor descobriu que elas estavam sendo indexadas pelos próprios. Basta clicar nos endereços para visualizar a página contendo as informações bancárias do correntista — dados que podem ser empregados para a aplicação de golpes direcionados e altamente customizados.

Fonte: Blog de Heitor Gouvêa

Para provar a gravidade da situação, o pesquisador criou um script para listar todas as URLs que foram disponibilizadas no Google e no Bing. Posteriormente, ele desenvolveu um outro código para extrair as informações bancárias em um formato de fácil leitura. O resultado: uma lista com mais de 100 nomes, CPFs, agência, conta e valor da transferência estavam na mão do especialista.

Dados de correntistas do Nubank – Fonte: Blog de Heitor Gouvêa

Posicionamento do Nubank

O Nubank foi notificado pelo Heitor antes da publicação do report em seu blog, e o pesquisador garante que a companhia “se posicionou de forma ética e transparente, demonstrando atenção e comprometimento”.

O site The Hack, que publicou originalmente essa matéria, entrou em contato com a assessoria de imprensa do Nubank, e recebeu o seguinte posicionamento oficial:

O Nubank informa que busca sempre melhorar seus serviços e por isso possui um time dedicado de especialistas em segurança que monitora constantemente seus sistemas. Este time avaliou o relatório produzido sobre a função cobrar, que permite realizar transferências na conta digital, e constatou que os links listados pelo Google tinham origem em outros websites indexados na Internet. Para melhorar esse controle, foram feitas algumas modificações na aplicação e solicitado o bloqueio deste tipo de resultado a partir do Google, solucionando a questão.

A empresa lembra que as URLs para transferências para a conta do Nubank disponibilizadas por esta função são geradas exclusivamente pelo cliente em seu aplicativo. Os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs. Assim, o cliente pode definir como e com quem compartilhará cada URL gerada.

Além disso, o Nubank reforça que a segurança é uma prioridade e que toma todas as precauções necessárias para manter a integridade das contas de seus clientes e para que nenhuma informação confidencial seja colocada em risco.

Enfim, gostou da matéria?

Então, nos siga no canal do YouTube, em nossas redes sociais como o Facebook, Twitter e Instagram. Assim acompanhará tudo sobre bancos digitais, cartões de crédito digitais,  empréstimos e matérias relacionadas ao mundo de fintechs.

Fonte: Heitor Gouvêa, The Hack

Imagem: Julio Ricco via shutterstock

Sobre o Autor

Eduardo Mendes

Cofundador

Sou um entusiasta da tecnologia, que também aprecia inovação, empreendedorismo, além de Fintechs e as suas facilidades. Graduado em Administração de Empresas pela Universidade Federal do Rio Grande do Sul. CoFundador do site Seu Crédito Digital.

Ver todos os artigos