Nubank tem falha de segurança e expõe dados de clientes no Google

Nubank tem falha de segurança e expõe dados de clientes. Os links indexados pelo Google permitia que informações como número da conta, nome completo e CPF fossem encontrados.

Uma falha no Nubank expôs dados pessoais de clientes na internet. A falha permitia que informações como número da conta, nome completo e CPF fossem encontrados em pesquisas feitas nos buscadores Google, Bing, Yahoo, entre outros. A falha foi reportada pelo pesquisador em segurança digital Heitor Gouvêa e corrigida pelo Nubank.

De acordo com um detalhado relatório publicado pelo pesquisador, os links indexados pelo Google faziam parte da função “cobrar” — onde é possível criar um QR Code que contém o valor e dados bancários para realizar o pagamento solicitado. Essa função é geralmente usada entre pessoas que se conhecem. O grande problema é que esses links estão visíveis em buscas do Google — sem que os clientes soubessem.

“Entre o uso e alguns testes que eu sempre acabo executando nos aplicativos que instalei no meu Smartphone, acabei encontrando um recurso muito interessante do Nubank, que permite ao usuário criar um “link de cobrança” e enviar esse link para uma ou mais pessoas para cobrar. Achei a funcionalidade muito útil, mas, quando vi de perto como ela funcionava, fiquei um pouco desconfortável diante do número de cenários que essa implementação poderia ser exposta. Com essa insatisfação intrínseca, decidi gerar algumas provas de conceitos e compartilhá-los com a empresa para que eles pudessem reavaliar o design da funcionalidade e, nessa demonstração rápida e simples, eu consegui mapear alguns dados pessoais (CPF, nome completo, número da conta e agência) de mais de 100 clientes.“, disse Heitor Gouvêa.

Segundo Gouvêa, dentro do aplicativo móvel Nubank, existe um recurso chamado “Cobrança”. Esse recurso se resume a você preencher o valor de seu desejo (se desejar) e clicar em confirmar e depois disso, um QR Code é gerado e você tem a opção de compartilhá-lo ou enviar a fatura por outro aplicativo, como o WhatsApp. Abrindo no navegador para dar uma olhada, Gouvêa encontrou o seu nome completo, CPF, número da conta bancária e agência expostos sem nenhum tipo de controle, o único requisito para obter minhas informações pelo Nubank era ter esse URL. 

Essa URL é gerada exclusivamente pelo cliente em seu aplicativo e também cabe ao cliente definir como e com quem compartilhar cada URL gerada.

Para analisar se isso era realmente possível, Gouvêa fez uma busca no Google para tentar encontrar mais dessas URLs que pudessem estar expostas na Internet e este foi o resultado:

Surpreso pelo fato de o Nubank permitir que o Google e outros mecanismos de pesquisa indexassem essas páginas, Gouvêa decidiu validar se essas URLs estavam sendo publicados em outros canais, e o primeiro canal o Twitter e Gouvêa encontrou diversos twittes com estas URLs, “No Twitter, você pode ver que algumas pessoas usam essa funcionalidade para receber doações e outras de maneiras muito gerais“, diz Gouvêa.

Impacto

Segundo Gouvêa, “a possibilidade de um invasor abusar dessa funcionalidade disponível nos sistemas Nubank é relativamente alta, pois pode expor uma grande quantidade de usuários, vazando algumas informações confidenciais conforme ilustrado acima, além de um invasor que tem essas informações em mãos, pode usá-las para fortalecer / crie uma abordagem de engenharia social.“

Conclusão

Gouvêa afirma que “por meio dessa análise, é possível afirmar que uma pessoa convencida pode implementar vários scrapers para mapear os URLs de cobrança do Nubank e posteriormente coletar informações pessoais presentes neles. Este artigo teve o PoC como uma dessas implementações, usando um mecanismo de busca, mas ainda há espaço para outros canais, como redes sociais (Twitter, Facebook e outros). O que poderia ser usado para levar essas pessoas a cenários de exposição ou risco, como serem vítimas de spear phishing / engenharia social.”

Nubank

Fonte: Exame & Heitor Gouvêa