O banco digital Nubank, conhecido por roxinho pelos clientes, teve uma falha grave no sistema que possibilitou o vazamento de nomes, CPF's, números de conta e agência de mais de 100 clientes da fintech brasileira. O problema foi causado pelo serviço do envio de cobranças, a função cobrar, disponível no aplicativo e, segundo o banco de pagamentos, já foi solucionado.

Os dados pessoais foram encontrados pelo pesquisador Heitor Gouvêa enquanto ele testava a funcionalidade do roxinho que possibilita a geração do link de cobrança, este que serve para o envio do valor da dívida a ser paga entre pessoas que fizeram algum tipo de negócio ou transação.

Como os dados pessoais foram expostos na internet?

O vazamento ocorreu devido ao compartilhamento de links (URL's) de cobranças pelos próprios usuários do Nubank a partir da chamada "função cobrar"; mas acontece que ao se encontrar algum desses URL's e abrí-los em um navegador, qualquer pessoa teria acesso ao valor da dívida juntamente ao nome completo, CPF, número da conta e agência, dentre outras informações, conforme o problema detectado pelo pesquisador. Confira:

Pesquisador gerou uma cobrança pela conta digital e depois a abriu pelo navegador; o resultado foi que todos seus dados foram encontrados na internet sem restrição. Fonte - Heitor Gouvêa

O problema estava crescendo, visto que diversas cobranças são compartilhadas por pessoas entre as redes sociais (como no Twitter, Facebook e grupos do Whatsapp) e desta forma qualquer pessoa mal intencionada poderia ter acesso aos dados pessoais. E mais do que isso, o pesquisador comprovou a existência de um método para encontrar esses links de cobrança diretamente no Google:

Links de cobrança do Nubank encontrados no Google pelo pesquisador.

E para piorar ainda mais; após criar uma prova de conceito, o pesquisador desenvolveu um código de programação para usar um mecanismo de pesquisa e assim coletar o máximo possível de cobranças já geradas e compartilhadas na internet. O resultado disso foi uma lista contendo as dívidas, o nome e CPF completo de mais de cem pessoas.

Heitor Gouvêa descobriu que mais de 100 usuários foram expostos na internet.

O problema já foi resolvido

O Nubank foi bem receptivo quanto a esse problema e divulgou a nota "A empresa responsável foi informada sobre todos os detalhes contidos nesta publicação no menor tempo possível e se posicionou de maneira ética e transparente, demonstrando a devida atenção e comprometimento(...)".

Desde 15 de junho, clientes reclamam do sumiço da "opção cobrar"; e tudo indica que ela foi substituída pela nova função "dividir valor" onde se pode fazer cobrança entre amigos e dividir o valor entre eles de forma automática.

Visto que os dados estão contidos na cobrança para que o devedor sem aplicativo realize o pagamento, o Nubank alerta que ainda é importante ter atenção na hora de compartilhar a cobrança.

De acordo com a revista Exame, o banco digital informou que "o time de segurança avaliou o relatório produzido sobre a função cobrar, e constatou que os links listados pelo Google tinham origem em outros websites indexados na Internet. Para melhorar esse controle, foram feitas algumas modificações na aplicação e solicitado o bloqueio deste tipo de resultado a partir do Google, solucionando a questão".