Galeria de Fotos

Não perca!!

Banner

Ciência e Tecnologia

Nubank: fintech brasileira expôs nome e CPF de clientes no Google (Rafael Henrique | SOPA Images | Getty Images)
Nubank: fintech brasileira expôs nome e CPF de clientes no Google (Rafael Henrique | SOPA Images | Getty Images)

De acordo com o relato publicado pelo pesquisador Heitor GouvÊa, os links indexados pelo Google faziam parte da função "Cobrar"

Uma falha no Nubank expôs dados pessoais de clientes na internet. A fintech brasileira permitia que informações como número da conta, nome completo e CPF fossem encontrados em pesquisas feitas nos buscadores Google, Bing, Yahoo, entre outros. A falha foi reportada pelo pesquisador em segurança digital Heitor Gouvêa e corrigida pelo Nubank.

De acordo com um detalhado relatório publicado pelo pesquisador, os links indexados pelo Google faziam parte da função “cobrar” — onde é possível criar um QR Code que contém o valor e dados bancários para realizar o pagamento solicitado. Essa função é geralmente usada entre pessoas que se conhecem. O grande problema é que esses links estão visíveis em buscas do Google — sem que os clientes soubessem.

Como prova, Heitor criou um script para listar todas as URLs disponibilizadas no Google e no Bing e conseguiu encontrar, em poucos minutos, uma lista com mais de 100 nomes, CPF’s, agências e número de conta.

O Nubank disse que seu time de segurança “avaliou o relatório produzido sobre a função cobrar, e constatou que os links listados pelo Google tinham origem em outros websites indexados na Internet. Para melhorar esse controle, foram feitas algumas modificações na aplicação e solicitado o bloqueio deste tipo de resultado a partir do Google, solucionando a questão”.

A empresa lembra que as URLs para transferências para a conta do Nubank disponibilizadas por esta função são geradas exclusivamente pelo cliente em seu aplicativo. Os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs. Assim, o cliente pode definir como e com quem compartilhará cada URL gerada.

O Nubank reforça que a segurança é uma prioridade e que toma todas as precauções necessárias para manter a integridade das contas de seus clientes.

Problema estava no recurso “Cobrar” do aplicativo (Foto: Heitor Gouvêa | Reprodução)
Problema estava no recurso “Cobrar” do aplicativo (Foto: Heitor Gouvêa | Reprodução)

Após criar scipts, pesquisador conseguiu reunir uma lista de CPFs, nomes e contas de mais de 100 pessoas (Foto: Heitor Gouvêa | Reprodução)
Após criar scipts, pesquisador conseguiu reunir uma lista de CPFs, nomes e contas de mais de 100 pessoas (Foto: Heitor Gouvêa | Reprodução)

Clique aqui e siga-nos no Facebook

 

Camaçari Fatos e Fotos LTDA
Contato: (71) 3621-4310 | redacao@camacarifatosefotos.com.br, comercial@camacarifatosefotos.com.br
www.camacarifatosefotos.com.br