Dados de correntistas do Nubank estavam disponíveis no Google
O pesquisador brasileiro Heitor Gouvêa revelou uma brecha de segurança, através da qual o Nubank acabou expondo os dados de seus correntistas na web, sendo que qualquer pessoa poderia consultá-los, através de um “dork” (parâmetro específico de pesquisa) no Google ou no Bing, resgatando informações como nome completo, CPF, agência, número da conta e valor da transferência requisitada.
É provável que você também goste:
Qual é o investimento mais escolhido pelos jovens brasileiros?
Bancos dobram para R$ 100 o limite de compras sem uso de senha.
Dados de correntistas do Nubank estavam disponíveis no Google
De acordo com o relatório (em detalhes) publicado em seu blog, o problema estava no recurso “Cobrar” do aplicativo da fintech, que permite criar um link compartilhável — inclusive para internautas que não possuem conta no Nubank — contendo um QR Code, o valor requisitado para pagamento e dados bancários para que o devedor consiga lhe transferir a quantia devida. Esse link pode ser compartilhado em mensageiros ou redes sociais.
Enfim, cada página de cobrança gerada através deste método possui uma URL única, e ao usar uma dork nos motores de busca, Heitor descobriu que elas estavam sendo indexadas pelos próprios. Basta clicar nos endereços para visualizar a página contendo as informações bancárias do correntista — dados que podem ser empregados para a aplicação de golpes direcionados e altamente customizados.
Para provar a gravidade da situação, o pesquisador criou um script para listar todas as URLs que foram disponibilizadas no Google e no Bing. Posteriormente, ele desenvolveu um outro código para extrair as informações bancárias em um formato de fácil leitura. O resultado: uma lista com mais de 100 nomes, CPFs, agência, conta e valor da transferência estavam na mão do especialista.
Posicionamento do Nubank
O Nubank foi notificado pelo Heitor antes da publicação do report em seu blog, e o pesquisador garante que a companhia “se posicionou de forma ética e transparente, demonstrando atenção e comprometimento”.
O site The Hack, que publicou originalmente essa matéria, entrou em contato com a assessoria de imprensa do Nubank, e recebeu o seguinte posicionamento oficial:
O Nubank informa que busca sempre melhorar seus serviços e por isso possui um time dedicado de especialistas em segurança que monitora constantemente seus sistemas. Este time avaliou o relatório produzido sobre a função cobrar, que permite realizar transferências na conta digital, e constatou que os links listados pelo Google tinham origem em outros websites indexados na Internet. Para melhorar esse controle, foram feitas algumas modificações na aplicação e solicitado o bloqueio deste tipo de resultado a partir do Google, solucionando a questão.
A empresa lembra que as URLs para transferências para a conta do Nubank disponibilizadas por esta função são geradas exclusivamente pelo cliente em seu aplicativo. Os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs. Assim, o cliente pode definir como e com quem compartilhará cada URL gerada.
Além disso, o Nubank reforça que a segurança é uma prioridade e que toma todas as precauções necessárias para manter a integridade das contas de seus clientes e para que nenhuma informação confidencial seja colocada em risco.
Enfim, gostou da matéria?
Então, nos siga no canal do YouTube, em nossas redes sociais como o Facebook, Twitter e Instagram. Assim acompanhará tudo sobre bancos digitais, cartões de crédito digitais, empréstimos e matérias relacionadas ao mundo de fintechs.
Fonte: Heitor Gouvêa, The Hack
Imagem: Julio Ricco via shutterstock