Tecnologia

Brecha em recurso do Nubank expôs nome e CPF de alguns clientes no Google

Brecha em recurso do Nubank expôs nome e CPF de alguns clientes no Google

O Nubank é mais uma empresa a permitir que um recurso do aplicativo se transformasse em um canal para obtenção de dados de seus clientes com uma busca no Google. Como descobriu o desenvolvedor Heitor Gouvêa, o recurso de “Cobrar” do aplicativo permitia a obtenção de dados como nome do cliente, seu CPF, número da conta corrente e agência.

Primeiro de tudo, é importante notar que as informações vazadas não permitem roubo direto de dinheiro das contas dos clientes ou clonagem de cartões. No entanto, ter em mãos uma combinação válida de nome e CPF ainda pode ser usado em outros tipos de fraudes. As informações também podem ser usadas para ciberataques direcionados mais eficazes.

Gouvêa conta que percebeu o problema quando decidiu usar o recurso “Cobrar”, que consiste em uma URL que, quando aberta, conta com um QR Code e uma lista de informações pessoais necessárias para viabilizar uma transferência bancária. Você pode enviar esse endereço para um amigo, informando tudo que é preciso para que ele envie algum valor para sua conta. Até aí, nada de anormal.

Reprodução

O problema foi que, quando ele decidiu investigar mais a fundo, era perfeitamente possível buscar especificamente por URLs específicas geradas pelo recurso de cobrança em buscadores como Google e Bing. Com essa pesquisa direcionada, era possível coletar informações de várias pessoas de uma vez só com um mecanismo de “scraping”, que varre os sites automaticamente. Em sua demonstração, ele criou um pequeno banco de dados de 100 clientes do Nubank.

Reprodução

A falha do Nubank foi em não prevenir que os buscadores fizessem a indexação desses endereços de forma automática, o que é algo bastante simples, bastando incluir tags específicas no código HTML. Gouvêa conta que alertou o Nubank do problema, que passou a adotar medidas de prevenção para evitar que esses endereços apareçam no Google ou no Bing novamente, mas a empresa não tem como se responsabilizar quando o próprio usuário divulga por conta própria esses links em redes sociais, por exemplo.

O erro foi basicamente o mesmo do WhatsApp noticiado recentemente, quando pesquisadores descobriram vários números de telefone graças a URLs de um recurso que permite abrir um chat com pessoas que você não tem em sua agenda. A medida tomada para resolver esse problema também foi igual, bastando incluir uma orientação no código HTML para que as páginas não fossem mais indexadas em buscadores.