Nubank tem falha de segurança e expõe dados de clientes no Google

Views: 58
0 0
Read Time:1 Minute, 28 Second

Uma falha no Nubank expôs dados pessoais de clientes na internet. A fintech brasileira permitia que informações como número da conta, nome completo e CPF fossem encontrados em pesquisas feitas nos buscadores Google, Bing, Yahoo, entre outros. A falha foi reportada pelo pesquisador em segurança digital Heitor Gouvêa e corrigida pelo Nubank.

De acordo com um detalhado relatório publicado pelo pesquisador, os links indexados pelo Google faziam parte da função “cobrar” — onde é possível criar um QR Code que contém o valor e dados bancários para realizar o pagamento solicitado. Essa função é geralmente usada entre pessoas que se conhecem. O grande problema é que esses links estão visíveis em buscas do Google — sem que os clientes soubessem.Problema estava no recurso "Cobrar" do aplicativo  Problema estava no recurso “Cobrar” do aplicativo (Reprodução: Heitor Gouvêa)

Problema estava no recurso “Cobrar” do aplicativo (Reprodução: Heitor Gouvêa) (Heitor Gouvêa/Reprodução)

Como prova, Heitor criou um script para listar todas as URLs disponibilizadas no Google e no Bing e conseguiu encontrar, em poucos minutos, uma lista com mais de 100 nomes, CPF’s, agências e número de conta.Após criar scipts, pesquisador conseguiu reunir uma lista de CPFs, nomes e contas de mais de 100 pessoas Após criar scipts, pesquisador conseguiu reunir uma lista de CPFs, nomes e contas de mais de 100 pessoas

Após criar scipts, pesquisador conseguiu reunir uma lista de CPFs, nomes e contas de mais de 100 pessoas (Heitor Gouvêa)/Reprodução)

Em comunicado à EXAME, o Nubank disse que seu time de segurança avaliou o relatório produzido sobre a função cobrar, e constatou que os links listados pelo Google tinham origem em outros websites indexados na Internet — como as redes sociais. Para melhorar esse controle, foram feitas algumas modificações na aplicação e foi solicitado o bloqueio deste tipo de resultado a partir do Google.

FONTE: EXAME

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *