Início » Finanças » Nubank expôs nome e CPF de alguns clientes no Google

Nubank expôs nome e CPF de alguns clientes no Google

Nubank cria páginas com CPF e nome completo para função Cobrar; Google, Bing e outros motores de busca removeram links

Felipe Ventura Por

O Nubank permitia que Google, Bing e outros motores de busca fizessem a indexação de links que contêm nome completo, CPF e número da conta. Após o aviso do pesquisador de segurança Heitor Gouvêa, a fintech corrigiu a falha. Um problema semelhante expôs números de celular do WhatsApp no mês passado.

Cartão Nubank Rewards

Os links indexados pelo Google faziam parte da função Cobrar: a conta digital do Nubank (antes chamada NuConta) permite enviar um QR Code que leva a uma página com seus dados bancários e o valor a ser transferido.

Não há problema em compartilhar essas informações para alguém que você conheça. O problema é que esses links estavam aparecendo em buscas do Google sem que os clientes soubessem.

Função Cobrar do Nubank

O Google vasculha a web aberta para indexar conteúdo e exibi-lo em resultados de busca. Algumas páginas contêm dados sensíveis e não podem ficar expostas ao público; no entanto, se o site não bloquear a indexação, ele vai aparecer em serviços de pesquisa, incluindo Bing e DuckDuckGo.

Usando um termo específico de busca no Google, Heitor conseguiu encontrar 305 links com CPFs e informações de contas do Nubank:

Nubank no Google

Então, ele resolveu criar scripts na linguagem de programação Perl para reunir os dados presentes nos links indexados pelo Bing. Um dos scrapers coletava as URLs; o outro obtinha as informações presentes em cada URL.

Em questão de minutos, o pesquisador tinha uma lista de CPFs, nomes e contas de mais de 100 pessoas:

Nubank

Nubank corrige falha e Google remove links

Para corrigir isso, é simples: basta adicionar a tag “noindex” no código das páginas. Isso impede que motores de busca coletem a URL para exibir nos resultados. O Nubank foi notificado pelo Heitor e adotou essa solução; os links já não estão mais presentes no Google.

Em comunicado ao The Hack, o Nubank explica que sua equipe de segurança “avaliou o relatório produzido sobre a função Cobrar… e constatou que os links listados pelo Google tinham origem em outros websites indexados na internet”. Assim, ela fez algumas modificações e pediu o bloqueio deste tipo de resultado a partir do Google.

Além disso, o Nubank lembra que “os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs”.

O WhatsApp teve um problema semelhante em junho: o Google havia indexado 424 mil links com números válidos de celular, incluindo 21,2 mil do Brasil. Ao acrescentar a tag “noindex”, a falha foi sanada.

Comentários da Comunidade

Participe da discussão
16 usuários participando

Os mais notáveis

Comentários com a maior pontuação

LengoTengo (@LengoTengo)

Se os meus dados de depósito aparecerem no Google e alguém quiser me transferir uma grana, fique à vontade. Não vou me ofender, até mando um abraço.

João M. (@RonDamon)

Aí é só por um no index e pronto. Não vazou nada, oras. O povo falando como se fosse o novo bug do milênio.

Gabriel Arruda (@gdarruda)

O banco não pode ter um design pensado na premissa de que o cliente sabe das coisas, era esperado que isso acontecesse e o próprio NuBank já mitigou os riscos. A grande maioria das fraudes são “culpa” do cliente, os bancos não pedem token e autenticação de celular para ser chato, mas porque é esperado que o banco tenha uma solução pensada em proteger usuários de seus erros.

imhotep (@imhotep)

Que não deveria permitir indexação pelos buscadores, ou seja, falha do serviço. Em momento algum eu falei que isso era vazamento.