Erro do app do Nubank permitia visualizar compras de outros usuários

Uma falha do aplicativo Nubank abria uma brecha para a violação de privacidade e permitia que usuários visualizassem compras e valor gasto de outros clientes do serviço por meio de notificações.

A descoberta foi feita pelo usuário Rafael Nilton, que fez um relato no Medium contando sobre a falha e também como foi o processo para contatar a empresa.

Segundo o desenvolvedor de software, um primo usou o app do Nubank em seu celular, e mesmo depois de deslogar, todos os dados de compras eram enviados como notificações para Nilton.

"Por um momento pensei que meu cartão tinha sido clonado. Ao comentar com meu primo, que por sinal também é desenvolvedor, percebemos que as transações realizadas foram feitas por ele. Ele tinha realizado o login e o logout no meu dispositivo. Em seguida, eu entrei na minha conta. Desse momento em diante eu conseguia visualizar suas transações (Valores, localizações, horários) através das notificações de cada transação"
- Rafael Nilton

"Por um momento pensei que meu cartão tinha sido clonado. Ao comentar com meu primo, que por sinal também é desenvolvedor, percebemos que as transações realizadas foram feitas por ele. Ele tinha realizado o login e o logout no meu dispositivo. Em seguida, eu entrei na minha conta. Desse momento em diante eu conseguia visualizar suas transações (Valores, localizações, horários) através das notificações de cada transação"
- Rafael Nilton

Apesar de ser um erro bem específico, a falha de segurança abria uma brecha enorme para violação de privacidade, já que os registros do Nubank incluem até o horário e local que a compra foi feita.

Nilton tentou entrar em contato com o suporte da Nubank a respeito da falha, mas não obteve sucesso. O desenvolvedor de software, então, conseguiu o contato do CEO da companhia, David Velez, que encaminhou o problema para a equipe responsável.

- Continua após a publicidade -

Segundo um comunicado da Nubank, o problema em questão aconteceu em junho e já foi resolvido. Abaixo, você confere o posicionamento da empresa, enviado ao Tecmundo:

"Não comentamos casos isolados de segurança para não incentivar comportamentos maliciosos e proteger os nossos clientes, mas estamos constantemente trabalhando para melhor nossos serviços e estamos sempre abertos a feedbacks externos. Esse foi um comportamento raro dentro da nossa base de usuários e, a partir do momento que nossa equipe de segurança da informação foi notificada, fizemos uma atualização no nosso serviço de notificações para garantir que em nenhuma situação casos semelhantes voltem a ocorrer"

"Não comentamos casos isolados de segurança para não incentivar comportamentos maliciosos e proteger os nossos clientes, mas estamos constantemente trabalhando para melhor nossos serviços e estamos sempre abertos a feedbacks externos. Esse foi um comportamento raro dentro da nossa base de usuários e, a partir do momento que nossa equipe de segurança da informação foi notificada, fizemos uma atualização no nosso serviço de notificações para garantir que em nenhuma situação casos semelhantes voltem a ocorrer"

Fonte: Medium
Tags
  • Redator: Mateus Mognon

    Mateus Mognon

    Mateus Mognon é formado em Jornalismo pela Universidade Federal de Santa Catarina. Vencedor do prêmio SET Universitário na Categoria Reportagem Digital, atua nos sites do grupo Adrenaline desde 2014. Atualmente, colabora para os veículos com notícias, análises e artigos envolvendo tecnologia e games.

O que você pesa mais quando escolhe sua plataforma para jogos?

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.