Às vezes, um incidente de segurança da informação pode ocorrer por um deslize absurdamente simples. A mais recente prova disso é que, durante um bom tempo, o Nubank acabou expondo dados de seus correntistas na web e qualquer pessoa poderia acessá-los com um simples “dork” (parâmetro específico de pesquisa) no Google ou no Bing, resgatando informações como nome completo, CPF, agência, número da conta e valor da transferência requisitada.
Quem revelou tal brecha foi o pesquisador brasileiro Heitor Gouvêa. De acordo com o detalhado relatório publicado em seu blog, o problema estava no recurso “Cobrar” do aplicativo do banco digital, que lhe permite criar um link compartilhável — inclusive para internautas que não possuem conta no Nubank — contendo um QR Code, o valor requisitado para pagamento e dados bancários para que o devedor consiga lhe transferir a quantia devida. Esse link pode ser compartilhado em mensageiros ou redes sociais.
O problema é que cada página de cobrança gerada através deste método possui uma URL única, e, usando uma dork nos motores de busca, Heitor descobriu que elas estavam sendo indexadas pelos próprios. Basta clicar nos endereços para visualizar a página contendo as informações bancárias do correntista — dados que podem ser empregados para a aplicação de golpes direcionados e altamente customizados.
Como prova de conceito da gravidade da situação, o pesquisador criou um script para listar todas as URLs disponibilizadas no Google e no Bing, e, posteriormente, desenvolveu outro código para extrair as informações bancárias em um formato de fácil leitura. Em poucos minutos, uma lista com mais de 100 nomes, CPFs, agência, conta e valor da transferência estavam na mão do especialista.
Problema comum?
Esse incidente nos lembra de um episódio similar que ocorreu com o WhatsApp — pesquisadores descobriram que as URLs de acesso aos grupos do mensageiro instantâneo estavam sendo indexados pelo Google. Isso permitia com que qualquer internauta tivesse a capacidade de entrar, sem ser convidado, em chats que deveriam ser privados (incluindo comunidades para compartilhamento de conteúdo adulto).
- Leia mais notícias sobre Privacidade.
O Nubank foi notificado pelo Heitor antes da publicação do report e o pesquisador garante que a companhia “se posicionou de forma ética e transparente, demonstrando atenção e comprometimento”. No momento em que esta reportagem foi escrita, o dork em questão não retornava mais páginas de cobrança. A The Hack entrou em contato com a assessoria de imprensa do banco e atualizará esta matéria caso eles se pronunciem a respeito do incidente.
Atualização: 06/07 às 22h17
O Nubank retornou nosso contato na noite desta segunda-feira (06). Confira o posicionamento oficial da companhia.
O Nubank informa que busca sempre melhorar seus serviços e por isso possui um time dedicado de especialistas em segurança que monitora constantemente seus sistemas. Este time avaliou o relatório produzido sobre a função cobrar, que permite realizar transferências na conta digital, e constatou que os links listados pelo Google tinham origem em outros websites indexados na Internet. Para melhorar esse controle, foram feitas algumas modificações na aplicação e solicitado o bloqueio deste tipo de resultado a partir do Google, solucionando a questão.
A empresa lembra que as URLs para transferências para a conta do Nubank disponibilizadas por esta função são geradas exclusivamente pelo cliente em seu aplicativo. Os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs. Assim, o cliente pode definir como e com quem compartilhará cada URL gerada.
Além disso, o Nubank reforça que a segurança é uma prioridade e que toma todas as precauções necessárias para manter a integridade das contas de seus clientes e para que nenhuma informação confidencial seja colocada em risco.
Fonte: Heitor Gouvêa