July 9, 2020

Falha do NuBank permitia que informações de contas fossem expostas no Google

Falha do NuBank permitia que informações de contas fossem expostas no Google

Uma falha de design de um dos sistemas de transferência de dinheiro do NuBank permitia que dados da conta de usuários fossem expostos em ferramentas de busca, como Google e Yahoo. A empresa afirma que o erro já foi corrigido.

A brecha foi detectada pelo pesquisador Heitor Gouvêa. O problema acontecia quando os usuários geravam uma página com QR code dentro do aplicativo, para que terceiros pudessem fazer a transferência de valores para suas contas. Essa imagem gerada continha também dados bancários sensíveis, como número da conta, nome completo do seu dono e CPF.

O problema é que, para enviar os dados a outra pessoa, a imagem deixava o ambiente seguro do aplicativo e era enviada via um link por ferramentas de comunicação, como o WhatsApp. Algumas pessoas até postavam essas imagens no Twitter. Nesse momento, elas podiam ser indexadas pelas ferramentas de busca.

Gouvêa rastreou a URL usada pelo NuBank para armazenar essas páginas de transferência, e encontrou muitos casos de dados expostos, facilmente acessíveis a partir de uma pesquisa simples. Ele foi ainda um pouco mais a fundo, e criou um crawler para “raspar” os dados do Google e armazená-los de forma organizada. Ele conseguiu apanhar os dados de pelo menos 100 contas, em poucos minutos:

O NuBank reconheceu o erro, e afirmou que fez alterações no design dessa funcionalidade, impedindo que as URLs geradas pelo aplicativo fossem indexadas.

Esse caso mostra a sensibilidade de sistemas de transferência de dinheiro, e o desafio que desenvolvedores desse tipo de ferramenta têm na hora de “blindar” todas as possíveis vias de acesso e de obtenção de dados.