O aplicativo do Nubank, empresa conhecida por seu cartão de crédito sem tarifas, apresentou uma falha de segurança peculiar, que permitiu que usuários vissem as compras realizadas por outras pessoas por meio de notificações recebidas pelo app.
O problema foi relatado pelo desenvolvedor Rafael Nilton em seu canal do Medium. Ele reparou na situação quando começou a receber notificações de compras que não havia feito e que nem teria limite de crédito para fazer. A princípio, ele chegou a acreditar que seu cartão havia sido clonado. Logo, porém, ele percebeu que nenhuma das compras constava em sua fatura.
Foi quando ele comunicou o fato a um primo e finalmente entendeu o que estava acontecendo. Seu parente havia feito login e logout do aplicativo em seu celular; ao entrar novamente na conta, o desenvolvedor começou a receber notificações do que seu primo estava comprando. Isso incluía todos os detalhes, como valores, nome da loja, localização no momento da aquisição e horário.
O desenvolvedor entrou em contato com o Nubank em abril deste ano para relatar a falha, mas recebeu um pedido de sigilo para que a brecha não fosse amplamente conhecida e explorada com fins malignos. Sem respostas sobre o caso desde então, ele optou por revelar o bug nesta quarta-feira, 27.
O caso chegou ao CEO do Nubank, David Velez, que repassou o assunto ao diretor de segurança da empresa. Ele identificou “um erro durante o logout e a forma como são enviadas notificações push” e pediu algumas semanas para liberar uma correção antes que a falha fosse divulgada. Algum tempo depois, o desenvolvedor informou que a falha persistia, e o diretor do Nubank declarou que os reparos ainda estavam em andamento. Depois disso, não houve mais respostas.
Procurada pelo Olhar Digital, o Nubank informa que a falha foi, sim, corrigida ainda em junho. A empresa enviou também o seguinte comunicado:
“Não comentamos casos isolados de segurança para não incentivar comportamentos maliciosos e proteger os nossos clientes, mas estamos constantemente trabalhando para melhorar nossos serviços e estamos sempre abertos a feedbacks externos. Esse foi um comportamento raro dentro da nossa base de usuários e, a partir do momento que nossa equipe de segurança da informação foi notificada, fizemos uma atualização no nosso serviço de notificações para garantir que em nenhuma situação casos semelhantes voltem a ocorrer”