O banco digital Nubank, conhecido por roxinho pelos clientes, teve uma falha grave no sistema que possibilitou o vazamento de nomes, CPF's, números de conta e agência de mais de 100 clientes da fintech brasileira. O problema foi causado pelo serviço do envio de cobranças, a função cobrar, disponível no aplicativo e, segundo o banco de pagamentos, já foi solucionado.

Os dados pessoais foram encontrados pelo pesquisador Heitor Gouvêa enquanto ele testava a funcionalidade do roxinho que possibilita a geração do link de cobrança, este que serve para o envio do valor da dívida a ser paga entre pessoas que fizeram algum tipo de negócio ou transação.

Como os dados pessoais foram expostos na internet?

O vazamento ocorreu devido ao compartilhamento de links (URL's) de cobranças pelos próprios usuários do Nubank a partir da chamada "função cobrar"; mas acontece que ao se encontrar algum desses URL's e abrí-los em um navegador, qualquer pessoa teria acesso ao valor da dívida juntamente ao nome completo, CPF, número da conta e agência, dentre outras informações, conforme o problema detectado pelo pesquisador. Confira:

Pesquisador gerou uma cobrança pela Nuconta e depois a abriu pelo navegador; o resultado foi que todos seus dados foram encontrados na internet sem restrição alguma. Fonte - Heitor Gouvêa.
Pesquisador gerou uma cobrança pela conta digital e depois a abriu pelo navegador; o resultado foi que todos seus dados foram encontrados na internet sem restrição. Fonte - Heitor Gouvêa

O problema estava crescendo, visto que diversas cobranças são compartilhadas por pessoas entre as redes sociais (como no Twitter, Facebook e grupos do Whatsapp) e desta forma qualquer pessoa mal intencionada poderia ter acesso aos dados pessoais. E mais do que isso, o pesquisador comprovou a existência de um método para encontrar esses links de cobrança diretamente no Google:

Links de cobrança do Nubank encontrados no Google pelo pesquisador.
Links de cobrança do Nubank encontrados no Google pelo pesquisador.

E para piorar ainda mais; após criar uma prova de conceito, o pesquisador desenvolveu um código de programação para usar um mecanismo de pesquisa e assim coletar o máximo possível de cobranças já geradas e compartilhadas na internet. O resultado disso foi uma lista contendo as dívidas, o nome e CPF completo de mais de cem pessoas.

Heitor Gouvêa descobriu que mais de 100 usuários foram expostas na internet.
Heitor Gouvêa descobriu que mais de 100 usuários foram expostos na internet.

O problema já foi resolvido

O Nubank foi bem receptivo quanto a esse problema e divulgou a nota "A empresa responsável foi informada sobre todos os detalhes contidos nesta publicação no menor tempo possível e se posicionou de maneira ética e transparente, demonstrando a devida atenção e comprometimento(...)".

Desde 15 de junho, clientes reclamam do sumiço da "opção cobrar"; e tudo indica que ela foi substituída pela nova função "dividir valor" onde se pode fazer cobrança entre amigos e dividir o valor entre eles de forma automática.

Visto que os dados estão contidos na cobrança para que o devedor sem aplicativo realize o pagamento, o Nubank alerta que ainda é importante ter atenção na hora de compartilhar a cobrança.

De acordo com a revista Exame, o banco digital informou que "o time de segurança avaliou o relatório produzido sobre a função cobrar, e constatou que os links listados pelo Google tinham origem em outros websites indexados na Internet. Para melhorar esse controle, foram feitas algumas modificações na aplicação e solicitado o bloqueio deste tipo de resultado a partir do Google, solucionando a questão".