Falha expõe dados de clientes do Nubank no Google
De acordo com o relato publicado pelo pesquisador Heitor Gouvêa, os links indexados pelo Google faziam parte da função "cobrar"
Mariana Martucci
Publicado em 7 de julho de 2020 às 20h34.
Última atualização em 9 de julho de 2020 às 17h37.
Uma brecha de segurança expôs dados pessoais de alguns clientes do Nubank na internet. Informações como número da conta, nome completo e CPF de alguns clientes acabaram sendo expostos nas buscas dos serviços do Google, Bing, Yahoo, entre outros. A falha foi relatada pelo pesquisador em segurança digital Heitor Gouvêa e corrigida pelo Nubank.
De acordo com um relatório publicado pelo pesquisador, os links indexados pelo Google faziam parte da função "cobrar" — em que é possível criar um QR Code que contém o valor e os dados bancários de um cliente para realizar o pagamento solicitado. Essa função é geralmente usada entre pessoas que se conhecem. O grande problema é que alguns clientes compartilharam os links de cobrança em redes sociais e as informações foram indexadas nas buscas do Google sem que os clientes soubessem.
O pesquisador Heitor Gouvêa criou um script para listar todas as URLs de pagamento disponibilizadas no Google e no Bing e diz ter conseguido encontrar, em poucos minutos, uma lista com mais de 100 nomes, números de CPF, da agência e da conta dos clientes.
Em comunicado à EXAME, o Nubank disse que sua equipe de segurança avaliou o relatório produzido pelo pesquisador sobre a função cobrar, e constatou que os links listados pelo Google tinham origem em outros websites indexados na internet — como as redes sociais. Para melhorar esse controle, foram feitas algumas modificações na aplicação e foi solicitado o bloqueio deste tipo de resultado a partir do Google.
A empresa lembra que as URLs usadas para realizar transferências para contas do Nubank são geradas exclusivamente pelo cliente em seu aplicativo. Os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs. Assim, o cliente pode definir como e com quem compartilhará cada URL gerada. Neste caso, a fintech sinalizou que os clientes haviam compartilhado publicamente as informações para transferência em suas redes sociais, como Twitter, Facebook e Whatsapp.
O Nubank reforça que a segurança é uma prioridade e que toma todas as precauções necessárias para manter a integridade das contas de seus clientes.
"Não houve falha. Dados compartilhados pelos clientes estão sujeitos a serem indexados no futuro. Enquanto clientes estiverem confortáveis com a publicação dos links que contêm os seus próprios dados, poderá haver maneiras de esses dados serem indexados pelos buscadores. Essa é uma escolha e uma ação voluntária dos próprios clientes", diz um comunicado do Nubank.