Nubank tinha falha de segurança que facilitava roubo de dinheiro usando o Gmail
Criminosos conseguiam acessar facilmente a conta Nubank em um celular desbloqueado, podendo transferir fundos e realizar pagamentos
Antes da última atualização do app do Nubank, vários clientes relataram que, após terem seus celulares desbloqueados roubados, perderam dinheiro por terem suas contas do banco digital invadidas. Aparentemente, os criminosos conseguiam descobrir o CPF do usuário, redefinir a senha do aplicativo e visualizar a chave de quatro dígitos do cartão. Mas, como isso podia acontecer? O Tecnoblog fez alguns testes e descobriu um dos possíveis mecanismos utilizados.
No final de fevereiro, o Nubank começou a pedir a senha do celular (geralmente biometria) para acessar o app. Aparentemente, essa exigência ainda podia ser facilmente burlada antes da última atualização, liberada no dia 6 de maio.
No primeiro acesso ao aplicativo, não se pedia a senha do celular, mas sim o código de acesso do app, o CPF do usuário e um número de confirmação enviado por e-mail. Na prática, bastava reinstalar ou limpar os dados do aplicativo do Nubank para voltar à tela inicial.
Como ocorria a invasão ao app do Nubank
O criminoso precisava descobrir o CPF da vítima e conseguir acesso a algum e-mail da pessoa. Nesse caso, o elo mais fraco é o Gmail, já que, diferentemente do Apple Mail e do Outlook, o app não pode ser protegido por senha no Android e nem no iOS.
Na maioria dos casos, o invasor consegue descobrir o CPF da pessoa buscando pela informação entre os e-mails. Com o principal dado de login em mãos, o criminoso podia tentar novamente acessar a conta do banco digital e pedir para redefinir a senha do aplicativo do Nubank.
Ainda que um endereço de e-mail que não seja do Gmail possa já estar cadastrado, há uma opção “perdi acesso ao meu e-mail”. Assim, basta colocar o endereço do Gmail e redefinir a senha do aplicativo por meio do link de recuperação enviado.
Com CPF e senha do app em mãos, o criminoso já tinha completo acesso à conta Nubank da vítima. Claro, ele ainda não poderia saber a senha de quatro dígitos do cartão, mas isso não era um grande problema.
Ao acessar o menu “Perfil” no app, basta clicar em “Meus Dados” e a opção “Consultar senha de 4 dígitos” aparece. Para esse acesso, o Nubank pede apenas a senha do aplicativo.
De acordo com nossos testes, a senha de quatro dígitos do cartão é o suficiente para realizar transferências (como Pix), pagamentos de boletos e ainda acessar o cartão virtual da vítima ou criar um novo. Em nenhum desses processos se pede a senha do celular.
No entanto, não é mais possível acessar o aplicativo do banco digital se houver alguma senha ativada no celular roubado. Atualmente, mesmo reinstalando o app ou limpando seus dados, a impressão digital, reconhecimento facial ou senha do celular é solicitada para fazer login no aplicativo do Nubank.
Vítimas relatam invasões após terem celulares roubados
O Tecnoblog conseguiu identificar mais de dez relatos no Twitter de usuários do Nubank que tiveram suas contas invadidas após terem seus celulares roubados em maio e abril de 2022, antes da última atualização. Pelos nossos testes, o smartphone da vítima precisava estar desbloqueado para isso, mas pode ser que criminosos também tenham encontrado outra maneira de acessar o dispositivo.
Um dos relatos é de uma pessoa que teve seu celular furtado pela janela de um táxi, enquanto o aparelho estava desbloqueado, no dia 5 de maio. Assim que ele conseguiu acesso à sua conta Nubank usando outro dispositivo, percebeu a movimentação de um total de R$ 27 mil por meio do pagamento de boletos.
Mais uma cliente do Nubank contou em um tweet que seu celular foi roubado da mesma forma — debloqueado —, e que suas economias também foram levadas.
Outro usuário do Twitter postou que ele mesmo tentou “hackear” o próprio app do Nubank, realizando os mesmos testes feitos pelo Tecnoblog. Na época, ele também conseguiu transferir livremente os fundos da conta e realizar pagamentos, sem a exigência de biometria.
O Tecnoblog entrou em contato com o Nubank para esclarecimentos sobre o problema e recebeu o seguinte posicionamento:
“O Nubank informa que qualquer movimento suspeito no aplicativo aciona uma série de mecanismos de segurança, que são progressivamente mais rígidos. Após pedidos de recuperação de senha do aplicativo por e-mail seguidos por consulta ao código PIN, como os mencionados na reportagem, são colocados em ação métodos de verificação mais rigorosos que impedem o fraudador de fazer qualquer movimentação financeira.”
No entanto, os mecanismos de segurança mencionados pela empresa não foram acionados em nossos testes realizados no dia 6 de maio. De qualquer forma, parece que a vulnerabilidade já foi resolvida pela fintech.
