Falha expõe dados de clientes do Nubank no Google

De acordo com o relato publicado pelo pesquisador Heitor Gouvêa, os links indexados pelo Google faziam parte da função "cobrar"

Uma brecha de segurança expôs dados pessoais de alguns clientes do Nubank na internet. Informações como número da conta, nome completo e CPF de alguns clientes acabaram sendo expostos nas buscas dos serviços do Google, Bing, Yahoo, entre outros. A falha foi relatada pelo pesquisador em segurança digital Heitor Gouvêa e corrigida pelo Nubank.

De acordo com um relatório publicado pelo pesquisador, os links indexados pelo Google faziam parte da função “cobrar” — em que é possível criar um QR Code que contém o valor e os dados bancários de um cliente para realizar o pagamento solicitado. Essa função é geralmente usada entre pessoas que se conhecem. O grande problema é que alguns clientes compartilharam os links de cobrança em redes sociais e as informações foram indexadas nas buscas do Google sem que os clientes soubessem.

Problema estava no recurso "Cobrar" do aplicativo Problema estava no recurso “Cobrar” do aplicativo (Reprodução: Heitor Gouvêa)

Problema estava no recurso “Cobrar” do aplicativo (Reprodução: Heitor Gouvêa) (Heitor Gouvêa/Reprodução)

O pesquisador Heitor Gouvêa criou um script para listar todas as URLs de pagamento disponibilizadas no Google e no Bing e diz ter conseguido encontrar, em poucos minutos, uma lista com mais de 100 nomes, números de CPF, da agência e da conta dos clientes.

Após criar scipts, pesquisador conseguiu reunir uma lista de CPFs, nomes e contas de mais de 100 pessoas Após criar scipts, pesquisador conseguiu reunir uma lista de CPFs, nomes e contas de mais de 100 pessoas

Após criar scipts, pesquisador conseguiu reunir uma lista de CPFs, nomes e contas de mais de 100 pessoas (Heitor Gouvêa)/Reprodução)

Em comunicado à EXAME, o Nubank disse que sua equipe de segurança avaliou o relatório produzido pelo pesquisador sobre a função cobrar, e constatou que os links listados pelo Google tinham origem em outros websites indexados na internet — como as redes sociais. Para melhorar esse controle, foram feitas algumas modificações na aplicação e foi solicitado o bloqueio deste tipo de resultado a partir do Google.

 

A empresa lembra que as URLs usadas para realizar transferências para contas do Nubank são geradas exclusivamente pelo cliente em seu aplicativo. Os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs. Assim, o cliente pode definir como e com quem compartilhará cada URL gerada. Neste caso, a fintech sinalizou que os clientes haviam compartilhado publicamente as informações para transferência em suas redes sociais, como Twitter, Facebook e Whatsapp.

O Nubank reforça que a segurança é uma prioridade e que toma todas as precauções necessárias para manter a integridade das contas de seus clientes.

“Não houve falha. Dados compartilhados pelos clientes estão sujeitos a serem indexados no futuro. Enquanto clientes estiverem confortáveis com a publicação dos links que contêm os seus próprios dados, poderá haver maneiras de esses dados serem indexados pelos buscadores. Essa é uma escolha e uma ação voluntária dos próprios clientes”, diz um comunicado do Nubank.

Apoie a Exame, por favor desabilite seu Adblock.

Você já leu todo conteúdo gratuito deste mês.

Assine e tenha o melhor conteúdo do seu dia, talvez o único que você precise.

Já é assinante? Entre aqui.

Plano mensal Revista Digital

Plano mensal Revista Digital + Impressa

  • Acesse onde e quando quiser.

  • Acesso ilimitado a conteúdos exclusivos sobre macroeconomia, mercados, carreira, empreendedorismo, tecnologia e finanças.
  • Acesse onde e quando quiser

  • Acesso ilimitado a conteúdos exclusivos sobre macroeconomia, mercados, carreira, empreendedorismo, tecnologia e finanças.

  • Edição impressa quinzenal.

  • Frete grátis

R$ 15,90/mês

R$ 44,90/mês

Plano mensal Revista Digital

Acesse ilimitado a conteúdos exclusivos sobre macroeconomia, mercados, carreira, empreendedorismo, tecnologia e finanças.

ASSINE

Plano mensal Revista Digital + Impressa

Acesse ilimitado a conteúdos exclusivos sobre macroeconomia, mercados, carreira, empreendedorismo, tecnologia e finanças + Edição impressa quinzenal com frete grátis.

ASSINE