quarta-feira, 8 de julho de 2020

Nubank expôs nome e CPF de alguns clientes no Google | Finanças | Tecnoblog

O Nubank permitia que Google, Bing e outros motores de busca fizessem a indexação de links que contêm nome completo, CPF e número da conta. Após o aviso do pesquisador de segurança Heitor Gouvêa, a fintech corrigiu a falha. Um problema semelhante expôs números de celular do WhatsApp no mês passado.

Cartão Nubank Rewards

Os links indexados pelo Google faziam parte da função Cobrar: a conta digital do Nubank (antes chamada NuConta) permite enviar um QR Code que leva a uma página com seus dados bancários e o valor a ser transferido.

Não há problema em compartilhar essas informações para alguém que você conheça. O problema é que esses links estavam aparecendo em buscas do Google sem que os clientes soubessem.

Função Cobrar do Nubank

O Google vasculha a web aberta para indexar conteúdo e exibi-lo em resultados de busca. Algumas páginas contêm dados sensíveis e não podem ficar expostas ao público; no entanto, se o site não bloquear a indexação, ele vai aparecer em serviços de pesquisa, incluindo Bing e DuckDuckGo.

Usando um termo específico de busca no Google, Heitor conseguiu encontrar 305 links com CPFs e informações de contas do Nubank:

Nubank no Google

Então, ele resolveu criar scripts na linguagem de programação Perl para reunir os dados presentes nos links indexados pelo Bing. Um dos scrapers coletava as URLs; o outro obtinha as informações presentes em cada URL.

Em questão de minutos, o pesquisador tinha uma lista de CPFs, nomes e contas de mais de 100 pessoas:

Nubank

Para corrigir isso, é simples: basta adicionar a tag “noindex” no código das páginas. Isso impede que motores de busca coletem a URL para exibir nos resultados. O Nubank foi notificado pelo Heitor e adotou essa solução; os links já não estão mais presentes no Google.

Em comunicado ao The Hack, o Nubank explica que sua equipe de segurança “avaliou o relatório produzido sobre a função Cobrar… e constatou que os links listados pelo Google tinham origem em outros websites indexados na internet”. Assim, ela fez algumas modificações e pediu o bloqueio deste tipo de resultado a partir do Google.

Além disso, o Nubank lembra que “os dados contidos em cada URL são necessários para que a transação seja executada tanto por outros clientes do Nubank quanto por pessoas que não possuam o aplicativo instalado em seus dispositivos e que, portanto, terão de utilizar outros métodos como DOCs ou TEDs”.

O WhatsApp teve um problema semelhante em junho: o Google havia indexado 424 mil links com números válidos de celular, incluindo 21,2 mil do Brasil. Ao acrescentar a tag “noindex”, a falha foi sanada.

Clientes do Nubank, Itaucard e Credicard têm transações indevidas de clonagem em nome da Sky e outras; bancos negam vazamento

O Nubank está lançando um programa de fidelidade para todos os seus clientes a partir de hoje, após quase um ano de testes. O Rewards tem uma conversão de gastos […]

Nubank Rewards permitirá converter pontos em milhas da Smiles em 2019; é possível apagar despesas de Airbnb e Ingresso.com

Nubank autorizou compras indevidas no crédito feitas para "Katia"; fintech realizará troca do cartão físico

Clientes do Nubank evitaram gastar R$ 1 bilhão em anuidade do cartão de crédito; NuConta economizou R$ 2,6 bilhões em tarifas

Conheça melhor o que é o Nubank, o que precisa para pedir um cartão e como fazer o cadastro caso você receba um convite

Apareceu mensagem de "CPF em situação inválida"? Saiba como consultar o CPF para emitir o Comprovante de Situação Cadastral

Usei a conta de pagamento do Nubank nos últimos dois meses. Confira o que tem de bom e o que ainda precisa melhorar

Saiba como tirar o CPF pela internet gratuitamente; serviço online da Receita Federal emite número na hora via formulário

Você também pode aumentar o seu limite sem precisar de aprovação do Nubank; veja como

Nenhum comentário:

Postar um comentário