Uma falha no Nubank expôs dados pessoais de clientes na internet. A fintech brasileira permitia que informações como número da conta, nome completo e CPF fossem encontrados em pesquisas feitas nos buscadores Google, Bing, Yahoo, entre outros. A falha foi reportada pelo pesquisador em segurança digital Heitor Gouvêa e corrigida pelo Nubank.
De acordo com um detalhado relatório publicado pelo pesquisador, os links indexados pelo Google faziam parte da função “cobrar” — onde é possível criar um QR Code que contém o valor e dados bancários para realizar o pagamento solicitado. Essa função é geralmente usada entre pessoas que se conhecem. O grande problema é que esses links estão visíveis em buscas do Google — sem que os clientes soubessem. Problema estava no recurso “Cobrar” do aplicativo (Reprodução: Heitor Gouvêa)
Problema estava no recurso “Cobrar” do aplicativo (Reprodução: Heitor Gouvêa) (Heitor Gouvêa/Reprodução)
Como prova, Heitor criou um script para listar todas as URLs disponibilizadas no Google e no Bing e conseguiu encontrar, em poucos minutos, uma lista com mais de 100 nomes, CPF’s, agências e número de conta. Após criar scipts, pesquisador conseguiu reunir uma lista de CPFs, nomes e contas de mais de 100 pessoas
Após criar scipts, pesquisador conseguiu reunir uma lista de CPFs, nomes e contas de mais de 100 pessoas (Heitor Gouvêa)/Reprodução)
Em comunicado à EXAME, o Nubank disse que seu time de segurança avaliou o relatório produzido sobre a função cobrar, e constatou que os links listados pelo Google tinham origem em outros websites indexados na Internet — como as redes sociais. Para melhorar esse controle, foram feitas algumas modificações na aplicação e foi solicitado o bloqueio deste tipo de resultado a partir do Google.
FONTE: EXAME