O desenvolvedor Heitor Gouvêa descobriu falha de segurança do Nubank. Ele descobriu que o recurso “Cobrar” fizesse ser possível obter dados dos clientes da fintech, como nomes, CPF, número da conta corrente e agência.
Essa brecha de segurança não permitia que o dinheiro das contas fosse roubado ou que houvesse clonagem de cartão. Entretanto, ter acesso ao nome e CPF de uma pessoa são informações que podem ser utilizadas para outras fraudes, além de ataques cibernéticos mais eficazes e direcionados.
O desenvolvedor percebeu, ao usar o recurso “Cobrar”, que era possível pesquisar URLs específicas geradas pelo recurso em páginas como o Google. Com a pesquisa, era possível verificar informações pessoais de vários clientes. O desenvolvedor conseguiu encontrar 305 links com informações pessoais de clientes do Nubank. Para demonstrar a brecha, ele criou banco de dados de 100 clientes da fintech.
O Nubank permitiu a brecha ao não prevenir que esses buscadores indexassem os endereços automaticamente. Ao ser alertada, a fintech afirma que passou a adotar medidas de prevenção para que os dados não sejam expostos em páginas de pesquisa.
Recentemente, em junho, o aplicativo WhatsApp teve um problema parecido. O Google também havia indexado mais de 420 mil links com números de celular. Destes, 21,2 mil eram do Brasil. Neste caso, a falha também foi resolvida.