O Nubank é mais uma empresa a permitir que um recurso do aplicativo se transformasse em um canal para obtenção de dados de seus clientes com uma busca no Google. Como descobriu o desenvolvedor Heitor Gouvêa, o recurso de “Cobrar” do aplicativo permitia a obtenção de dados como nome do cliente, seu CPF, número da conta corrente e agência.

Primeiro de tudo, é importante notar que as informações vazadas não permitem roubo direto de dinheiro das contas dos clientes ou clonagem de cartões. No entanto, ter em mãos uma combinação válida de nome e CPF ainda pode ser usado em outros tipos de fraudes. As informações também podem ser usadas para ciberataques direcionados mais eficazes.

Gouvêa conta que percebeu o problema quando decidiu usar o recurso “Cobrar”, que consiste em uma URL que, quando aberta, conta com um QR Code e uma lista de informações pessoais necessárias para viabilizar uma transferência bancária. Você pode enviar esse endereço para um amigo, informando tudo que é preciso para que ele envie algum valor para sua conta. Até aí, nada de anormal.

Reprodução

O problema foi que, quando ele decidiu investigar mais a fundo, era perfeitamente possível buscar especificamente por URLs específicas geradas pelo recurso de cobrança em buscadores como Google e Bing. Com essa pesquisa direcionada, era possível coletar informações de várias pessoas de uma vez só com um mecanismo de “scraping”, que varre os sites automaticamente. Em sua demonstração, ele criou um pequeno banco de dados de 100 clientes do Nubank.

Reprodução

A falha do Nubank foi em não prevenir que os buscadores fizessem a indexação desses endereços de forma automática, o que é algo bastante simples, bastando incluir tags específicas no código HTML. Gouvêa conta que alertou o Nubank do problema, que passou a adotar medidas de prevenção para evitar que esses endereços apareçam no Google ou no Bing novamente, mas a empresa não tem como se responsabilizar quando o próprio usuário divulga por conta própria esses links em redes sociais, por exemplo.

O erro foi basicamente o mesmo do WhatsApp noticiado recentemente, quando pesquisadores descobriram vários números de telefone graças a URLs de um recurso que permite abrir um chat com pessoas que você não tem em sua agenda. A medida tomada para resolver esse problema também foi igual, bastando incluir uma orientação no código HTML para que as páginas não fossem mais indexadas em buscadores.

Em resposta ao ocorrido, o Nubank se posicionou com o seguinte comunicado:

O Nubank informa que busca sempre melhorar seus serviços e por isso possui um time dedicado de especialistas em segurança que monitora constantemente seus sistemas. Este time avaliou o relatório produzido sobre a função cobrar, que permite realizar transferências na sua conta digital, e constatou que os links listados pelo Google tinham origem em outros websites indexados na Internet. Para melhorar esse controle, foram feitas algumas modificações na aplicação e solicitado o bloqueio deste tipo de resultado a partir do Google, solucionando a questão.

A empresa lembra que as URLs para transferências para a conta do Nubank disponibilizadas por esta função são geradas exclusivamente pelo cliente em seu aplicativo. Os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs. Assim, o cliente pode definir como e com quem compartilhará cada URL gerada.

Além disso, o Nubank reforça que a segurança é uma prioridade e que toma todas as precauções necessárias para manter a integridade das contas de seus clientes e para que nenhuma informação confidencial seja colocada em risco.