Início » Finanças » Nubank expôs nome e CPF de alguns clientes no Google

Nubank expôs nome e CPF de alguns clientes no Google

Nubank cria páginas com CPF e nome completo para função Cobrar; Google, Bing e outros motores de busca removeram links

Felipe Ventura Por

O Nubank permitia que Google, Bing e outros motores de busca fizessem a indexação de links que contêm nome completo, CPF e número da conta. Após o aviso do pesquisador de segurança Heitor Gouvêa, a fintech corrigiu a falha. Um problema semelhante expôs números de celular do WhatsApp no mês passado.

Cartão Nubank Rewards

Os links indexados pelo Google faziam parte da função Cobrar: a conta digital do Nubank (antes chamada NuConta) permite enviar um QR Code que leva a uma página com seus dados bancários e o valor a ser transferido.

Não há problema em compartilhar essas informações para alguém que você conheça. O problema é que esses links estavam aparecendo em buscas do Google sem que os clientes soubessem.

Função Cobrar do Nubank

O Google vasculha a web aberta para indexar conteúdo e exibi-lo em resultados de busca. Algumas páginas contêm dados sensíveis e não podem ficar expostas ao público; no entanto, se o site não bloquear a indexação, ele vai aparecer em serviços de pesquisa, incluindo Bing e DuckDuckGo.

Usando um termo específico de busca no Google, Heitor conseguiu encontrar 305 links com CPFs e informações de contas do Nubank:

Nubank no Google

Então, ele resolveu criar scripts na linguagem de programação Perl para reunir os dados presentes nos links indexados pelo Bing. Um dos scrapers coletava as URLs; o outro obtinha as informações presentes em cada URL.

Em questão de minutos, o pesquisador tinha uma lista de CPFs, nomes e contas de mais de 100 pessoas:

Nubank

Nubank corrige falha e Google remove links

Para corrigir isso, é simples: basta adicionar a tag “noindex” no código das páginas. Isso impede que motores de busca coletem a URL para exibir nos resultados. O Nubank foi notificado pelo Heitor e adotou essa solução; os links já não estão mais presentes no Google.

Em comunicado ao The Hack, o Nubank explica que sua equipe de segurança “avaliou o relatório produzido sobre a função Cobrar… e constatou que os links listados pelo Google tinham origem em outros websites indexados na internet”. Assim, ela fez algumas modificações e pediu o bloqueio deste tipo de resultado a partir do Google.

Além disso, o Nubank lembra que “os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs”.

O WhatsApp teve um problema semelhante em junho: o Google havia indexado 424 mil links com números válidos de celular, incluindo 21,2 mil do Brasil. Ao acrescentar a tag “noindex”, a falha foi sanada.

Comentários da Comunidade

Participe da discussão
16 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Bruno Cabral Peixoto (@Bruno_Cabral_Peixoto)

Ah, corrigiram? É uma falha bem perigosa.

LengoTengo (@LengoTengo)

Se os meus dados de depósito aparecerem no Google e alguém quiser me transferir uma grana, fique à vontade. Não vou me ofender, até mando um abraço.

imhotep (@imhotep)

Que fase da Nubank hein? Outro dia mesmo disse que não tinha vazamento. Agora isso.

Alguma chance de ser sabotagem das empresas grandes?

ochateador (@ochateador)

Está mais para funcionário incompetente que não faz as coisas direito.

Felipe Silva (@Felipe_Silva)

" Em comunicado ao The Hack, o Nubank explica que sua equipe de segurança “avaliou o relatório produzido sobre a função Cobrar… e constatou que os links listados pelo Google tinham origem em outros websites indexados na internet”. Assim, ela fez algumas modificações e pediu o bloqueio deste tipo de resultado a partir do Google."

O cliente coloca o link com seus dados em algum lugar indexavel pelo google (leia-se publico) e a culpa é do nubank?
Fizeram a sua parte ao pedir ao google para sumir com esses dados da busca, mas eles não vão sumir da internet e nem estão em algum lugar gerenciável pelo nubank.

Mas seria interessante uma ferramenta de cobrar dos outros que não exibisse os dados do cliente.

Eu (@Keaton)

Nem sei o que dizer… como. hahaha

Felipe Ferraro (@Felipepperoni)

Parece que toda empresa quando atinge certo topo, começa a vazar, ou melhor, a ter quem procure por vazamentos. Semana retrasada foi cobrança indevida na fatura do cartão, hoje centenas estão dizendo que sumiu dinheiro da Nu Conta e mais essa.

É Nubank, agora é a hora de se benzer porque se continuar, é ladeira abaixo.

João M. (@RonDamon)

Mas não é vazamento, esses dados são os compartilhados pelos próprios usuários.

imhotep (@imhotep)

Não era pra estar indexado pelos buscadores.
A falha é do nubank então, q fornece o recurso de compartilhamento de cobrança.

Eu sei de um monte de falcatruas q qualquer um pode fazer tendo acesso a CPFs e outras informações.
Pra mim é uma falha grave, no mínimo uma falta de zelo com os dados do cliente, pra ser gentil.

seinper capi (@seinper_capi)

Tem que privatizar, rs…

João M. (@RonDamon)

Mas a própria pessoa escolhe compartilhar o link. É tipo usar o "compartilhar’’ do Facebook e ficar bravo depois.

Islan Oliveira (@Islan_Oliveira)

Mas os dados do Compartilhar não eram pra ser indexados nos buscadores. Quando você compartilha algo numa rede social você sabe com quem está compartilhando (se tiver neurônios). Esses dados da cobrança em nenhum momento é indicado que ficaram disponíveis na web, e nem era essa a intenção, se fosse o Nubank não teria corrigido. Comparação sem sentido essa sua.

João M. (@RonDamon)

Aí é só por um no index e pronto. Não vazou nada, oras. O povo falando como se fosse o novo bug do milênio.

Gabriel Arruda (@gdarruda)

O banco não pode ter um design pensado na premissa de que o cliente sabe das coisas, era esperado que isso acontecesse e o próprio NuBank já mitigou os riscos. A grande maioria das fraudes são “culpa” do cliente, os bancos não pedem token e autenticação de celular para ser chato, mas porque é esperado que o banco tenha uma solução pensada em proteger usuários de seus erros.

imhotep (@imhotep)

É simples. O Nubank falhou…tanto q corrigiu depois.
Não sei pq essa passada de pano pro Nubank…vc é sócio de lá?

Ah, e quem falou de bug do milênio foi vc…ninguém disse isso por aqui…

Exibir mais comentários